本文深入介绍了OAuth2认证协议的工作原理、角色、令牌类型和特点,通过微信登录网站的例子展示了OAuth2的授权流程。同时,详细阐述了SpringSecurity OAuth2的配置,包括授权服务器、资源服务器的端点以及如何搭建SpringSecurity OAuth2项目。在实践中,涵盖了授权码模式、密码模式的配置和测试,以及如何将Token存储在Redis中,确保安全性和效率。
1、Oauth2
1.1、Oauth2简介
- 第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。
- Oauth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而Oauth2是开放的。
- 业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而Oauth是简易的。
- 互联网很多服务如Open API,很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明Oauth标准逐渐成为开放资源授权的标准。Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应用。
Oauth 协议
详情请参考:https://baike.baidu.com/item/oAuth/7153134?fr=aladdin
1.2、Oauth2认证举例
-
网站使用微信认证的过程如下:
-
1)用户访问网站的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信中信息的资源拥有者。 点击"微信"出现一个二维码,此时用户扫描二维码,开始授权给网站。
-
2)资源拥有者同意给客户端授权
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证,验证通过后,微信会询问用户是否给网站授权,让其访问自己的微信数据,用户点击"确认登录"表示同意授权,微信认证服务器会颁发一个授权码,并重定向到网站。 -
3)客户端获取到授权码,请求认证服务器,申请令牌
此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码。 -
4)认证服务器向客户端响应令牌
认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。此交互过程用户看不到,当客户端拿到令牌后,用户在网站看到已经登录成功。 -
5)客户端请求资源服务器的资源
客户端携带令牌,访问资源 服务器的资源。网站携带令牌请求访问微信服务器 获取用户的基本信息。 -
6)资源服务器返回受保护的资源
资源服务器校验令牌的合法性,如果合法则向用户响应资源的信息内容。
注意:资源服务器和认证服务器可以是一个服务,也可以是分开的服务,如果是分开的服务资源,服务器通常要请求认证服务器来校验令牌的合法性。
Oauth2.0认证流程如下:
引自 Oauth2.0协议rfc6749
1.3、角色
1)客户端
本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户
端、Web客户端(浏览器端)、微信客户端等。
2)资源拥有者
通常为用户,也可以是应用程序,即该资源的拥有者。
3)授权服务器(认证服务器)
用来对资源拥有的身份进行认证、对访问资源进行授权。客户端要想访问资源需要通过认证服务器由资源拥有者授权后方可访问。
4)资源服务器
存储资源的服务器,比如,网站用户管理服务器存储了网站用户信息,网站相册服务器存储了用户的相册信息,微信的资源服务存储了微信的用户信息等。客户端最终访问资源服务器获取资源信息。
1.4、常用术语
- 客户凭授权服务器证(Client Credentials):客户端的ClientId和密码用于认证客户
- 令牌(tokens):授权服务器在接收到客户请求后,颁发的访问令牌
- 作用域(scopes):客户请求访问令牌时,由资源拥有者 额外指定的细分权限
1.5、令牌类型
- 授权码:仅用于授权码授权类型,用于交换获取访问令牌和刷新令牌
- 访问令牌:用于代表一个用户或服务直接去访问受保护的资源
- 刷新令牌:用于去授权服务器获取一个刷新访问令牌
- BearerToken:不管谁拿到Token都可以访问资源,类似用户拿着现金去购物
- Proof of Possession(POP) Token:可以校验client是否对Token有明确的拥有权
1.6、特点
- 优点:
更安全,客户端不接触用户密码,服务器端更易集中保护
广泛传播并被持续采用
短寿命和封装的token
资源服务器和授权服务器解耦
集中式授权,简化客户端
HTTP/JSON友好,易于请求和传递token
考虑多种客户端架构场景
客户可以具有不同的信任级别
- 缺点:
协议框架太宽泛,造成各种实现的兼容性和互操作性差
不是一个认证协议,本身并不能告诉你任何用户信息。
2、授权模式
2.1、授权码模式(最复杂、最流行、最安全的授权模式)
2.2、简化授权模式
- 与授权码模式相比,简化授权模式 省去了授权码的获取 和 根据授权码去获取令牌(用户认证之后直接返回令牌),
2.3、密码模式(公司内部开发了多个应用)
2.4、客户端模式
2.5、刷新令牌
3. SpringSecurity+Oauth2
3.1、授权服务器
Authorize Endpoint :授权端点,进行授权
Token Endpoint :令牌端点,经过授权拿到对应的Token
Introspection Endpoint :校验端点,校验Token的合法性
Revocation Endpoint :撤销端点,撤销授权
3.2、Spring Security Oauth2项目搭建
- 流程:
1)用户访问,此时没有Token。Oauth2RestTemplate会报错,这个报错信息会被
Oauth2ClientContextFilter捕获并重定向到认证服务器
2)认证服务器通过Authorization Endpoint进行授权,并通过
AuthorizationServerTokenServices生成授权码并返回给客户端
3)客户端拿到授权码去认证服务器通过Token Endpoint调用
AuthorizationServerTokenServices生成Token并返回给客户端
4)客户端拿到Token去资源服务器访问资源,一般会通过Oauth2AuthenticationManager调 用ResourceServerTokenServices进行校验。校验通过可以获取资源。
1)导入依赖
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.2.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<properties>
<java.version>1.8</java.version>
<spring-cloud.version>Greenwich.SR2</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<vers
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
