SpringSecurityOAuth2认证

文章目录

SpringSecurityOAuth2认证
一、OAuth2 协议四种授权方式
- 1.1、OAuth2 简单介绍
- - 认证流程
  - OAuth2五大角色
- 1.1、授权方式
- 1.2、授权码模式流程
- 1.3、密码模式流程
- 1.4、客户端模式流程
二、授权码认证
- 2.1、创建认证服务器
- 2.2、创建安全配置类
- 2.3、令牌访问端点
- 2.4、获取授权码
- 2.5、根据授权码获取token
三、密码授权模式(password)
- 3.1、配置密码模式
- 3.2、获取token
四、简化和客服端授权模式
- 4.1、简化模式
- - 配置客户端授权类型
  - 获取`token`
- 4.2、客户端模式
- - 配置客服端授权类型
  - 获取token

源码地址： https://github.com/gl-stars/springSecurity-example.git

一、OAuth2 协议四种授权方式

1.1、OAuth2 简单介绍

官网：https://oauth.net/2/

中文说明文档：https://github.com/jeansfish/RFC6749.zh-cn/blob/master/SUMMARY.md

OAuth 2.0 是目前最流行的授权机制，第三方应用授权登录：在APP或者网页接入一些第三方应用时，时常会需要用户登录另一个合作平台，比如QQ，微博，微信的授权登录,第三方应用通过oauth2方式获取用户信息。OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的规范标准。很多大公司如阿里、腾讯、 Google，Yahoo，Microsoft等都提供了 OAuth 认证服务。

OAuth 协议1.0版本过于复杂，目前发展到2.0版本，2.0版本已得到广泛应用。

认证流程

OAuth的思路是在”客户端”与”服务提供商”之间，设置了一个授权层（authorization layer）。”客户端”不能直接登录”服务提供商”，只能登录授权层，以此将用户与客户端区分开来。”客户端”登录授权层所用的令牌（token），与用户的密码不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。”客户端”登录授权层以后，”服务提供商”根据令牌的权限范围和有效期，向”客户端”开放用户储存的资料。

OAuth2五大角色

资源所有者（Resource Owner）

通常为 “用户”（user），如昵称、头像等这些资源的拥有者（用户只是将这些资源放到了服务提供商的资源服务器中）。

第三方应用（Third-party application）

又称为客户端（Client），比如梦学谷官网想要使用微信的资源（昵称、头像等），梦学谷官网对于QQ、微信等系统来说是第三者，我们称梦学谷官网为第三方应用。

认证服务器（Authorization server）

专门用来对资源所有者的身份进行认证、对要访问的资源进行授权、产生令牌的服务器。想访问资源，需要通过认证服务器由资源所有者授权后才可访问。

资源服务器（Resource server）

存储用户的资源（昵称、头像等）、验证令牌有效性。比如: 微信的资源服务器存储了微信的用户信息，淘宝的资源服务器存储了淘宝的用户信息等。注意：认证服务器和资源服务器虽然是两个解决，但其实他们可以是同一台服务器、同一个应用。

服务提供商（Service Provider）

如 QQ、微信等（包含认证和资源服务器）。

绘图工具：https://c.runoob.com/more/shapefly-diagram/#

1.1、授权方式

授权码模式(Authorization Code)

功能最完整，流程最严密的授权模式。它的特点就是通过客户端的后台服务器，与"服务提供商"的认证服务器进行互动。国内各大服务提供商（微信、QQ、微博、淘宝、百度）都采用此模式进行授权。可以确定是用真正同意授权；而且令牌是认证服务器发放给第三方应用的服务器，而不是浏览器上。

简化模式(Implicit)

令牌是发放给浏览器的，oauth客户端运行在浏览器中，通过JS脚本去申请令牌。而不是发放给第三方应用的服务器。

密码模式(Resource Owner Password Credentials)

将用户名和密码传过去，直接获取 access_token 。用户同意授权动作是在第三方应用上完成，而不是在认证服务器上。第三方应用申请令牌时，直接带着用户名密码去向认证服务器申请令牌。这种方式认证服务器无法断定用户是否真的授权了，用户名密码可能是第三方用盗取来的。

客户端证书模式(Client credentials)

使用比较少，当一个第三应用自己本身需要获取资源（而不是以用户的名
义），而不是获取用户的资源时，客户端模式十分有用。

1.2、授权码模式流程

具体步骤如下：

（A）用户访问客户端，后者将前者导向认证服务器。

（B）用户选择是否给予客户端授权。

（C）假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码。

（D）客户端收到授权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。

（E）认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。

1.3、密码模式流程

用户向客户端直接提供认证服务器平台的用户名和密码。
客户端将用户名和密码发给认证服务器，向后者请求令牌。
认证服务器确认无误后，向客户端提供访问令牌。

1.4、客户端模式流程

客户端向认证服务器进行身份认证，并要求一个访问令牌。
认证服务器确认无误后，向客户端提供访问令牌。

客户端模式（Client Credentials Grant）指客户端以自己的名义，而不是以用户的名义，向"服务提供商"进行认证。在这种模式中，用户直接向客户端注册，客户端以自己的名义要求"服务提供商"提供服务，其实不存在授权问题。

它的步骤如下：

（A）客户端向认证服务器进行身份认证，并要求一个访问令牌。

（B）认证服务器确认无误后，向客户端提供访问令牌。

客户端发出的HTTP请求，包含以下参数：

granttype：表示授权类型，此处的值固定为"clientcredentials"，必选项。

scope：表示权限范围，可选项。

二、授权码认证

2.1、创建认证服务器

配置方式说明
- 内存方式
- 数据库管理方式
令牌管理
- 令牌管理策略（JDBC、Redis、JWT）
- 令牌生成策略
- 令牌端点
- 令牌端点的安全配置
配置认证服务器（授权码模式）

配置允许访问该认证服务器的客户端资源，没有在这里配置的客户端是不能访问的。如果在这里配置后，访问是必须带上这里配置的客户端名称和密码。

创建认证服务器配置类AuthorizationServerConfig

创建 AuthorizationServerConfig类并继承 AuthorizationServerConfigurerAdapter类，实现 public void configure(ClientDetailsServiceConfigurer clients)方法。在类上添加 @Configuration注解标识是配置类，@EnableAuthorizationServer注解开启OAuth2认证服务器功能。

内存方式配置说明

withClient（必须）：允许访问此认证服务器的客户端id , 如：PC、APP、小程序各不同的的客户端id。

secret（必须）：客户端密码，要加密存储，不然获取不到令牌一直要求登录, 而且一定不能被泄露。

resourceIds（非必须）：资源服务器id，就相当于微服务id，可以使用逗号隔开，配置多个。如果不配置，所有的资源服务器（每个微服务）都可以访问。

authorizedGrantTypes: 授权类型, 可同时支持多种授权类型：

可配置：“authorization_code”, “password”, “implicit”,“client_credentials”,“refresh_token”。这些值是固定的，可以配置多个。

authorization_code：授权码

password：密码模式

implicit：简化模式

client_credentials：客户端模式

refresh_token：刷新令牌

scopes（非必须）：授权范围标识，如指定微服务名称，则只能访问指定的微服务。

autoApprove（非必须）：false 跳转到授权页面手动点击授权，true 不用手动授权，直接响应授权码。

redirectUris（非必须）当获取授权码后，认证服务器回调地址，并且带着一个授权码 code 响应回来。

2.2、创建安全配置类

创建安全配置类 SpringSecurityConfig并继承 WebSecurityConfigurerAdapter类，实现 configure(AuthenticationManagerBuilder auth)方法。在该类上添加 @EnableWebSecurity注解，开启SpringSecurity过滤连file，但是这个注解已经包含 @Configuration注解了，所以这个类上就不用再添加这个注解。

2.3、令牌访问端点

Spring Security 对 OAuth2 默认提供了可直接访问端点，就是在访问的URL地址。
/oauth/authorize ：申请授权码 code, 涉及的类 AuthorizationEndpoint
/oauth/token ：获取令牌 token, 涉及的类 TokenEndpoint
/oauth/check_token ：用于资源服务器请求端点来检查令牌是否有效, 涉及的类 CheckTokenEndpoint
/oauth/confirm_access ：用户确认授权提交, 涉及的类 WhitelabelApprovalEndpoint
/oauth/error ：授权服务错误信息, 涉及的类 WhitelabelErrorEndpoint
/oauth/token_key ：提供公有密匙的端点，使用 JWT 令牌时会使用 , 涉及的类 TokenKeyEndpoint

2.4、获取授权码

直接访问令牌对应的访问端点/oauth/authorize，根据用户名和密码登录成功后就可以获取到授权码。

注意本地的端口为8090，服务器名称为auth，所以访问的时候需要在最前面添加上这个服务器名称才能访问到。访问地址为：

http://localhost:8090/auth/oauth/authorize?client_id=sse-pc&response_type=code

提交方式：post

client_id 客户端id

response_type：相应的类型是code授权码

当在浏览器访问这个地址时，自动跳转到登录页面，输入安全配置类 SpringSecurityConfig中配置的用户名和密码。点击登录后，如果配置的是自动授权，会自动跳转到我们配置的客户端回调地址，路径最后带有code参数，这个参数值就是授权码了，如果不是自动授权，那么会弹出一个授权页面授权才能获取授权码。

2.5、根据授权码获取token

打开postman，使用post提交方式，访问地址为：http://localhost:8090/auth/oauth/token。这个访问地址是令牌访问端点配置好了，auth是服务器的名称，在yml文件中配置的，上面也说明了。

配置将“客户端id”和“客户端密码”加密了，加密步骤如下。

点击发送后，会返回令牌的相关信息，返回结果如下。

{"access_token": "4be57993-2eb2-420a-bdc3-ec108601324d","token_type": "bearer","refresh_token": "4e84f086-b916-4c0f-83c0-8ee6eb36cb24","expires_in": 43199,"scope": "all"
}

access_token：令牌

token_type：令牌类型，返回都是这个值

refresh_token：刷新令牌

expires_in：令牌的时差，一般是12个小时

scope：访问范围，在 .scopes("all")这里配置的。

每一个授权码只能申请一次令牌，不管申请失败还是成功，都只能申请一次。但是同一个用户不同的授权码获取到的令牌都是一样的。

出现这样的局面，说明授权码回娘家休息去了，你要重新发送 http://localhost:8090/auth/oauth/authorize?client_id=sse-pc&response_type=code这个地址重新获取授权码，不要一直在重定向回来的那个地址一直刷新，结果发现授权码一直都是那样，因为你并没有重新获取授权码，这是一种很愚蠢的做法。

当前版本号：e8656486abd96ec334eb373389ef0d029d47218a

三、密码授权模式(password)

密码模式（Resource Owner Password Credentials Grant）中，用户向客户端提供自己在服务提供商（认证服务器）上的用户名和密码，然后客户端通过用户提供的用户名和密码向服务提供商（认证服务器）获取令牌。如果用户名和密码遗漏，服务提供商（认证服务器）无法判断客户端提交的用户和密码是否盗取来的，那意味着令牌就可随时获取，数据被丢失。适用于产品都是企业内部的，用户名密码共享不要紧。如果是第三方这种不太适合，也适用手机APP提交用户名密码。

3.1、配置密码模式

在安全配置类 SpringSecurityConfig 重写 authenticationManagerBean()方法，将 AuthenticationManager到容器中。

在认证服务器中AuthorizationServerConfig覆写 configure(AuthorizationServerEndpointsConfigurer endpoints)方法，将AuthenticationManager认证管理器注入。

授权类型就不用管了，这里已经设置好了，可以使用密码模式的。

  // 授权类型, 可同时支持多种授权类型.authorizedGrantTypes("authorization_code", "password","implicit","client_credentials","refresh_token")

3.2、获取token

获取的令牌端点也是一样的，都是/oauth/token。访问地址如下：

http://localhost:8090/auth/oauth/token

注意要将grant_type更改为password

当前版本号：7583d883ffd76f0cc95797498c854f0a1538f0f7

四、简化和客服端授权模式

4.1、简化模式

不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，不需要先获取授权码。直接可以一次请求就可得到令牌，在 redirect_uri 指定的回调地址中传递令牌（ access_token ）。该模式适合直接运行在浏览器上的应用，不用后端支持（例如 Javascript 应用）。

注意：只要客户端id即可，客户端密码都不需要。

配置客户端授权类型

实现简化模式需要在认证服务器 AuthorizationServerConfig的authorizedGrantTypes中配置授权类型为implicit，简化模式才可以生效。

获取`token`

获取token的令牌端点/oauth/authorize ，访问地址如下：

http://localhost:8090/auth/oauth/authorize?client_id=sse-pc&response_type=token

auth：服务器名称，在yml中自己配置的

client_id：客服端id

response_type：相应类型是token

访问这个地址后，会跳转到登录页面进行登录。登录成功跳转到重定向的URL地址，后面就带上token了。

https://www.baidu.com/
#access_token=92d70c3f-2172-4a9e-9ba0-39428659e057
&token_type=bearer
&expires_in=43199
&scope=all

access_token：令牌

token_type：令牌类型，返回都是这个值

expires_in：令牌的时差，一般是12个小时

scope：访问范围，在 .scopes("all")这里配置的。

4.2、客户端模式

客户端模式（Client Credentials Grant）指客户端以自己的名义，而不是以用户的名义，向服务提供商（认证服务器）进行认证。在这种模式中，用户直接向客户端注册，客户端以自己的名义要求服务提供商（认证服务器）提供服务，其实不存在授权问题。客户端向认证服务器进行身份认证，并要求一个访问令牌。认证服务器确认无误后，向客户端提供访问令牌。

配置客服端授权类型

在认证服务器中AuthorizationServerConfig通过authorizedGrantTypes指定客服端模式。

获取token

既然是以客服端为名义，而不是用户的名义去获取令牌。那么用户登录这个步骤就没有了，并且这个模式是没有刷新令牌的。使用的令牌端点/oauth/token，访问地址如下：

http://localhost:8090/auth/oauth/token

当前版本号：eeda16403ee90bf8fd76883cd189d66aa500b02f