Spring security oauth2-客户端模式,简化模式,密码模式(Finchley版本)

一、客户端模式原理解析(来自理解OAuth 2.0)

客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。


客户端模式
客户端模式

具体步骤:

  1. (A) 客户端向认证服务器进行身份认证,并要求一个访问令牌。请求的参数如下:
    • response_type:表示授权类型,必选项,此处的值固定为"client_credentials"
    • client_id:表示客户端的ID,必选项
    • client_secret:客户端的密码,可选项
    • scope:表示申请的权限范围,可选项
    POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials&client_id=s6BhdRkqt3
&client_secret=123456&scope=test
  2. (B) 认证服务器确认无误后,向客户端提供访问令牌

1.1 客户端模式示例

本节在Spring Security Oauth2-授权码模式(Finchley版本)做很小的修改就可以实现客户端模式。客户端模式为后台api服务消费者设计,不支持refresh token。

1.1.1 修改授权服务

修改授权服务配置类AuthorizationServerConfiguration,在客户端详情配置中新增客户端模式配置:

/**
 * 配置客户端详情服务
 * 客户端详细信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息
 * @param clients
 * @throws Exception
 */
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
  clients.inMemory()
          .withClient("client1")//用于标识用户ID
          .authorizedGrantTypes("authorization_code","client_credentials","refresh_token")//授权方式
          .scopes("test")//授权范围
          .secret(PasswordEncoderFactories.createDelegatingPasswordEncoder().encode("123456"));//客户端安全码,secret密码配置从 Spring Security 5.0开始必须以 {bcrypt}+加密后的密码 这种格式填写;
}

其它地方无需修改

1.1.2 测试

启动授权服务和资源服务。

  1. 获取token

    使用postman工具发送post请求
    获取token
    获取token
    返回结果如下: 
    {
  "access_token":"69b10f69-0a99-4925-b81d-f83c6f79d32a",
  "token_type":"bearer",
  "expires_in":42600,
  "scope":"test"
}
  2. 获取资源
    使用postman工具发送get请求http://localhost:8088/user?access_token=69b10f69-0a99-4925-b81d-f83c6f79d32a返回结果如下: 
    {
    "authorities": [],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": null,
        "tokenValue": "69b10f69-0a99-4925-b81d-f83c6f79d32a",
        "tokenType": "Bearer",
        "decodedDetails": null
    },
    "authenticated": true,
    "userAuthentication": null,
    "principal": "client1",
    "credentials": "",
    "clientOnly": true,
    "oauth2Request": {
        "clientId": "client1",
        "scope": [
            "test"
        ],
        "requestParameters": {
            "client_id": "client1"
        },
        "resourceIds": [],
        "authorities": [],
        "approved": true,
        "refresh": false,
        "redirectUri": null,
        "responseTypes": [],
        "extensions": {},
        "grantType": null,
        "refreshTokenRequest": null
    },
    "name": "client1"
}

源代码下载

二、密码模式原理解析(来自理解OAuth 2.0)

密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。

在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。


密码模式
密码模式

具体步骤如下:

  1. (A) 用户向客户端提供用户名和密码。
  2. (B) 客户端将用户名和密码发给认证服务器,向后者请求令牌。请求参数如下:
    • grant_type:表示授权类型,此处的值固定为"password",必选项
    • username:表示用户名,必选项
    • password:表示用户的密码,必选项
    • client_id:表示客户端的ID,必选项
    • client_secret:表示客户端密码,可选项
    • scope:表示权限范围,可选项。
  3. (C) 认证服务器确认无误后,向客户端提供访问令牌。

整个过程中,客户端不得保存用户的密码。

2.1 密码模式示例

本节在Spring Security Oauth2-授权码模式(Finchley版本)做很小的修改就可以实现客户端模式。密码模式为为遗留系统设计,支持refresh token。

1.1.1 修改授权服务

修改授权服务配置类AuthorizationServerConfiguration,在客户端详情配置中新增密码模式配置:

/**
 * 配置客户端详情服务
 * 客户端详细信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息
 * @param clients
 * @throws Exception
 */
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
  clients.inMemory()
          .withClient("client1")//用于标识用户ID
          .authorizedGrantTypes("authorization_code","client_credentials","password","refresh_token")//授权方式
          .scopes("test")//授权范围
          .secret(PasswordEncoderFactories.createDelegatingPasswordEncoder().encode("123456"));//客户端安全码,secret密码配置从 Spring Security 5.0开始必须以 {bcrypt}+加密后的密码 这种格式填写;
}

其它地方无需修改

2.2 测试

启动授权服务和资源服务。

  1. 获取token

    使用postman工具发送post请求
    获取token
    获取token
    返回结果如下: 
    {
  "access_token": "9411d111-141f-441f-83d2-af7be239509c",
  "token_type": "bearer",
  "refresh_token": "196fc388-3d46-4133-966d-e840063f426a",
  "expires_in": 43179,
  "scope": "test"
}
  2. 获取资源
    使用postman工具发送get请求http://localhost:8088/user?access_token=9411d111-141f-441f-83d2-af7be239509c返回结果如下: 
    {
    "authorities": [
        {
            "authority": "USER"
        }
    ],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": null,
        "tokenValue": "9411d111-141f-441f-83d2-af7be239509c",
        "tokenType": "Bearer",
        "decodedDetails": null
    },
    "authenticated": true,
    "userAuthentication": {
        "authorities": [
            {
                "authority": "USER"
            }
        ],
        "details": null,
        "authenticated": true,
        "principal": "admin",
        "credentials": "N/A",
        "name": "admin"
    },
    "principal": "admin",
    "credentials": "",
    "clientOnly": false,
    "oauth2Request": {
        "clientId": "client1",
        "scope": [
            "test"
        ],
        "requestParameters": {
            "client_id": "client1"
        },
        "resourceIds": [],
        "authorities": [],
        "approved": true,
        "refresh": false,
        "redirectUri": null,
        "responseTypes": [],
        "extensions": {},
        "grantType": null,
        "refreshTokenRequest": null
    },
    "name": "admin"
}

源代码下载

三、简化模式原理解析(来自理解OAuth 2.0)

简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。


简明模式
简明模式

具体步骤如下:

  1. (A) 客户端将用户导向认证服务器。请求参数如下:
    • response_type:表示授权类型,此处的值固定为"token",必选项。
    • client_id:表示客户端的ID,必选项。
    • redirect_uri:表示重定向的URI,可选项。
    • scope:表示权限范围,可选项。
    • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
  2. (B) 用户决定是否给于客户端授权。
  3. (C) 假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌,其参数如下:
    • access_token:表示访问令牌,必选项。
    • token_type:表示令牌类型,该值大小写不敏感,必选项。
    • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
    • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
    • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
  4. (D) 浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
  5. (E) 资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
  6. (F) 浏览器执行上一步获得的脚本,提取出令牌。
  7. (G) 浏览器将令牌发给客户端。

3.1 简化模式示例:

本节在Spring Security Oauth2-授权码模式(Finchley版本)做很小的修改就可以实现客户端模式。简化模式为web浏览器应用设计,支持refresh token,比授权码模式少了code环节,回调url直接携带token,基于安全性考虑,建议把token时效设置短一些。

1.1.1 修改授权服务

修改授权服务配置类AuthorizationServerConfiguration,在客户端详情配置中新增简化模式配置:

/**
 * 配置客户端详情服务
 * 客户端详细信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息
 * @param clients
 * @throws Exception
 */
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
  clients.inMemory()
          .withClient("client1")//用于标识用户ID
          .authorizedGrantTypes("authorization_code","client_credentials","password","implicit","refresh_token")//授权方式
          .scopes("test")//授权范围
          .secret(PasswordEncoderFactories.createDelegatingPasswordEncoder().encode("123456"));//客户端安全码,secret密码配置从 Spring Security 5.0开始必须以 {bcrypt}+加密后的密码 这种格式填写;
}

其它地方无需修改

2.2 测试

启动授权服务和资源服务。

  1. 获取token
    使用浏览器发送get请求http://localhost:8080/oauth/authorize?response_type=token&client_id=client1&redirect_uri=https://screenshot.net/zh/free-image-uploader.html,用户输入密码并授权后浏览器的重定向地址为https://screenshot.net/zh/free-image-uploader.html#access_token=ab7b3a82-9b0d-4346-8603-da35891c26f2&token_type=bearer&expires_in=42111&scope=test,其中包含了token
  2. 获取资源
    使用postman工具发送get请求http://localhost:8088/user?access_token=ab7b3a82-9b0d-4346-8603-da35891c26f2返回结果如下: 
    {
    "authorities": [
        {
            "authority": "USER"
        }
    ],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": null,
        "tokenValue": "ab7b3a82-9b0d-4346-8603-da35891c26f2",
        "tokenType": "Bearer",
        "decodedDetails": null
    },
    "authenticated": true,
    "userAuthentication": {
        "authorities": [
            {
                "authority": "USER"
            }
        ],
        "details": null,
        "authenticated": true,
        "principal": "admin",
        "credentials": "N/A",
        "name": "admin"
    },
    "principal": "admin",
    "credentials": "",
    "clientOnly": false,
    "oauth2Request": {
        "clientId": "client1",
        "scope": [
            "test"
        ],
        "requestParameters": {
            "client_id": "client1"
        },
        "resourceIds": [],
        "authorities": [],
        "approved": true,
        "refresh": false,
        "redirectUri": null,
        "responseTypes": [],
        "extensions": {},
        "grantType": null,
        "refreshTokenRequest": null
    },
    "name": "admin"
}

源代码下载

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 193,968评论 5 459
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 81,682评论 2 371
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 141,254评论 0 319
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,074评论 1 263
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 60,964评论 4 355
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,055评论 1 272
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,484评论 3 381
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,170评论 0 253
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,433评论 1 290
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,512评论 2 308
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,296评论 1 325
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,184评论 3 312
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,545评论 3 298
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 28,880评论 0 17
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,150评论 1 250
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,437评论 2 341
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,630评论 2 335

推荐阅读更多精彩内容