Spring Security OAuth2 万文详解摘要

OAuth2.0 概述

OAuth2.0 是一种流行的授权机制，允许第三方应用获取数据而无需用户账号信息。OAuth 提供安全、开放且简易的资源授权规范。

OAuth2 设计角色

• 资源所有者（Resource Owner）: 用户，资源的实际拥有者。
• 第三方应用: 第三方客户端，希望使用资源服务器提供的资源。
• 认证服务器 (Authorization Server): 身份认证和资源授权的服务器。
• 资源服务器 (Resource Server): 存储用户资源，验证令牌的服务器。
• 服务提供商 (Service Provider): 认证服务和资源服务的归属机构。

OAuth2 认证流程

1. 第三方应用向认证服务器请求授权。
2. 用户同意授权。
3. 认证服务器告知第三方应用授权码 (code)。
4. 第三方应用使用授权码申请 Access Token。
5. 认证服务器验证授权码，颁发 Access Token。

OAuth2 四种授权方式

• 授权码模式 (Authorization Code): 功能完整，流程严密。
• 简化模式 (Implicit): 令牌直接发放给浏览器，适用于运行在浏览器的应用。
• 密码模式 (Resource Owner Password Credentials): 用户将用户名和密码传给第三方应用，直接获取 Access Token。
• 客户端模式 (Client Credentials): 适用于第三方应用自身需要获取资源的情况。

Spring Security OAuth2 认证服务器

Spring Security 使用 Session 存储登录信息，前后端分离后推荐使用令牌方式进行认证。

基础模块创建

创建模块，添加相关依赖，并定义统一的返回结果处理和接口。

认证服务器模块创建

添加必要的依赖，并配置认证服务器，包括客户端信息、令牌管理策略以及令牌端点安全配置。

Spring Security OAuth2 认证服务器配置

• 配置授权码模式。
• 指定密码模式。
• 配置简化授权模式。
• 配置客户端授权模式。
• 配置令牌刷新策略。

认证服务器配置 - 令牌管理策略 Redis & JDBC

可以使用 RedisTokenStore 或 JdbcTokenStore 管理令牌。

资源服务器

资源服务器可以与认证服务器同一工程或分离。配置资源服务器以确保“/api/**”接口的访问需要经过OAuth2认证。

想要了解更多内容？

查看原文：SpringSecurity-OAuth2万文详解

文章来源：

springboot葵花宝典

扫码关注公众号