找回密码
 加入怎通
查看: 217|回复: 0

OAuth 2.0学习笔记(oauth2.0 鉴权)

[复制链接]
我来看看 发表于 2023-03-07 12:00:06 | 显示全部楼层 |阅读模式
2 F2 N M% s6 `

名词定义:(1)Third-party application:第三方应用程序,本文中又称"客户端"(client),即上一节例子中的"云冲印"(2)HTTP service:HTTP服务提供商,本文中简称"服务提供商",即上一节例子中的Google。

/ ?# z/ T+ N& q6 p Q. P% K, z

(3)Resource Owner:资源所有者,本文中又称"用户"(user)(4)User Agent:用户代理,本文中就是指浏览器(5)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。

4 M$ {$ [5 z* g/ x/ p

(6)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器它与认证服务器,可以是同一台服务器,也可以是不同的服务器运行流程:(1)用户打开客户端以后,客户端要求用户授权(2)用户同意给予客户端授权。

. s3 [! b4 O' U: ]4 z- ` F

(3)客户端根据获得的授权,向认证服务器申请令牌(4)认证服务器对客户端进行认证,确认无误后发放令牌(5)客户端使用令牌,向资源服务器申请获取资源(6)资源服务器确认令牌无误后,向客户端开放资源客户端的授权模式:

& Y- @$ f+ e% Y7 X: H

授权码模式(authorization code):功能最完整、流程最严密的授权模式它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动(1)用户访问客户端,客户端将用户导向认证服务器。

3 |) Y2 K# M8 |; J: H( K* w

客户端申请认证的URI包含以下参数: response_type:表示授权类型,必选项,此处的值固定为"code" client_id:表示客户端的ID,必选项 redirect_uri:表示重定向URI,可选项

& X [/ [2 m& T) B" @8 @

scope:表示申请的权限范围,可选项 state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值 例如:/authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz&redirect_uri=。

0 T4 u9 Z0 K% A# V& p

https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb(2)用户选择是否给予客户端授权(3)假设用户给予授权,认证服务器会将用户导向客户端原先指定的重定向URI,并加上一个授权码

, I, }5 o4 c( p! l2 v+ Q) R

服务器回应客户端的URI包含以下参数: code:表示授权码,必选项该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝 该码与客户端ID和重定向URI,是一一对应关系。

$ O) [" S/ ^ @( |( `+ T J4 M' a" m

state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数 例如:https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz。

! G2 z, Y# \3 d9 r

(4)客户端接收到授权码和原先的重定向URI,向认证服务器申请令牌 客户端向认证服务器申请令牌的HTTP请求包含以下参数: grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。

$ a, u( X0 j5 r: t

code:表示上一步获得的授权码,必选项 redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致 client_id:表示客户端ID,必选项 例如:grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=。

5 z: G2 ]" @. G* ?6 o9 t- J. n

https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb(5)认证服务器核对令牌和重定向URI,确认无误后向客户端发送访问令牌和更新令牌 认证服务器发送的HTTP回复,包含以下参数:

: K# f6 [0 O$ z. `6 C' c6 {3 j& L

access_token:表示访问令牌,必选项 token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型 expires_in:表示过期时间,单位为秒如果省略该参数,必须其他方式设置过期时间。

. D6 {/ L, r" t

refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项 scope:表示权限范围,如果与客户端申请的范围一致,此项可省略 例如: HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8。

3 b3 ^% D: C; q/ r: {/ i3 A

Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example",

2 l9 n+ G" N# h, W8 a3 A' T

"expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" } 从上面回复代码可以看出,相关参数使用JSON格式发送(Content-Type: application/json)。

4 K. m/ o+ r/ S S+ r8 ~/ d

此外,HTTP头信息中明确指定不得缓存简化模式(implicit grant type):spring security与OAuth2.0集成1)修改web.xml文件:

& L# P- L2 K2 g; R- P B

springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxy

) W2 i/ _ O$ z5 h+ D! @% N: P

springSecurityFilterChain/*

' I& d v( d2 R+ H. E9 h

2)配置applicationContext-security.xml:

- W; z. z7 Y, ^+ s& e

entry-point-ref="oauth2AuthenticationEntryPoint">

; }% _: d1 a8 K7 z1 i: `

class="org.springframework.security.oauth2.provider.client.JdbcClientDetailsService">

6 B0 ]" q9 O4 X

class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">

1 `/ ~4 n& \8 g) {$ x* c

client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"user-approval-handler-ref="oauthUserApprovalHandler">

' N; B7 W5 ?0 d. j

class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices">

0 w+ L% U, W' }6 G4 Y) }5 K

class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">

6 F. p# a# ~. o' U

resource-id="rest-resource" token-services-ref="tokenServices" />

' a) |. W2 x6 _8 r9 R7 h

authentication-failure-url="/login.jsp?login_error=1"default-target-url="/index.jsp" login-page="/login.jsp" login-processing-url="/tms_security_check"/>

& A/ u1 |$ A' J; p6 Y) s5 f3 p) c- u' v 8 s# d0 g o- y$ b , `' ^) n- N6 N2 N/ G* z! i0 q9 J+ L1 R i% M- R m
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-7-9 00:49 , Processed in 0.037966 second(s), 24 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表