本人经过2周的学习,成功搭建了认证服务器,资源服务器和客户端 。下面是本人对 oauth2的理解,以及spring-security的使用,如果理解错误的地方,还望指正。
现在代码有点凌乱,过段时间会放到github上面的,本人会在代码中添加详细注释,供学习交流使用
源码地址:
https://gitee.com/qq75547276/spring-security-oauth2
理解
1.认证服务器
如抖音可以选择QQ或者微信登录,此时QQ或者微信就是认证服务器
用户认证和客户端认证,只要用户或者客户端在认证服务器中注册即可
2.授权:通过认证之后赋予权限,
token, token中携带用户信息,用户拥有的角色信息,客户端信息
对于QQ,微信登录会返回一个openId,这个暂时不讲, 自己搭建的认证服务器暂时没有openId,后期有时间再去研究
2.资源服务器
提供服务的服务器,如获取用户信息,用户头像等,需要携带token请求获取想要的信息(资源服务器会解析token,判断是否有权限)
3.客户端
如抖音,知否,需要通过认证服务器(QQ,微信)认证的应用服务器。
客户端通过认证拿到token,就可以访问资源服务器了
那么第三方客户端是如何完成授权的呢?
解读4中授权模式
推荐使用的授权模式,流程如下,下面给予解析
解析:
***** client_id为客户端Id,必须注册到认证服务器, redirect_uri 这个地址后面获取到code要跳转的地方,也就是这个地址能拿到认证服务器返回的code ****
1.比如我现在要选择登陆csdn,打开登录页面,我们可以选择qq,微博,百度等 登录方式,
选择第三方登陆,这时候浏览器会重定向http://localhost:8080/oauth/authorize?response_type=code&client_id=myclient_id&redirect_uri=http://baidu.com,不经过客户端;response_type=code为特定参数
跳转到登录页面。client_id,redirect_uri 是你注册到认证服务器的信息
填写登录信息并登录,然后跳转到让用户授权(授可以默认同意授权,也可以让用户自己在页面上确定)
认证并授权通过,重定向到redirect_uri 并带上code参数,如https://www.baidu.com/?code=o5NsTH,有人会问为什么不直接返回token? 这重定向要经过浏览器的,直接返回token是不安全的
grant_type=authorization为特定参数
http://localhost:8080/oauth/token? grant_type=authorization_code &code=o4YrCS&client_id=pair &client_secret=secret&redirect_uri=http://baidu.com
验证通过返回token
拿到token后就可以访问资源服务器了,知道要访问的接口并把token带过去,这一步也是通过客户端远程调用的,http://localhost:8080/rest/api/getuserInfo?access_token=a4ae5a76-289d-2356-a421-9652sa857678
下面是一个客户端通过第三方登录的简图
2.密码模式
3.客户端模式
4.简化模式
一个完整授权服务器 和资源服务器 简图
