再谈OAuth授权

Posted CodeJames

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了再谈OAuth授权相关的知识,希望对你有一定的参考价值。

工作场景流程

大家都知道OAuth是用于第三方授权的,当你用其他的APP想访问微信账号的昵称、粉丝、联系人等信息,这里就需要微信进行授权,此时在APP的网页端是可以发现有微信登录的,点开会出现弹框,在弹框中输入用户名和密码,此时即同意授权,会直接到微信授权服务端获取授权码Code,接着通过302重定向到redirect,并且把生成的code加入到redirect的后面,此时链接会访问到APP的服务端,此时APP服务器会利用截取到的code到微信的授权服务器,对code进行验证,验证通过就会生成token,此时token传输到APP的服务器,此时会在微信的资源服务器验证APP获取的token进行验证,如果验证通过此时会把资源传输到APP的服务器,并传入到APP显现出来。

如图所示:工作流程图,从19

在编程的过程中需要在服务端确定哪些东西呢?

如图所示,需要确定4部分其中在授权码模式下式不需要client_secret的。

它的请求url如下:

请求url:localhost:8080/oauth/authorize?client_id=client&respose_type=code&redirect_url=http://www.baidu.com

想获取认证,此时需要输入微信的用户名与密码,同意授权,生成code,进行重定向。

重定向url:http://www.baidu.com/?code=fnajlgah

假如APP是百度,此时重定向之后百度服务端会得到code,利用code获取token,得到token之后就会得到资源服务器获取得到资源。

代码中两种配置方式

常见的两种配置方式,第一种常用于测试中,利用到了InMemory的方式,数据都存在内存中。

@Override    
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {        
	clients.inMemory() // 使用in-memory存储                
	.withClient("client") // client_id                
	.secret("secret") //client_secret
	.authorizedGrantTypes("authorization_code") // 该client允许的授权类型
	.scopes("app"); // 允许的授权范围    
}

这种只能用于测试,当线程结束之后,所有的东西都会清楚。另一种方式是数据库JDBC实现,所有的数据都会持久化到数据库。

@Autowired    
private AuthenticationManager authenticationManager;    
@Autowired    
private DataSource dataSource;    
@Bean // 声明TokenStore实现    
public TokenStore tokenStore() {       
    return new JdbcTokenStore(dataSource);    
}    
@Bean // 声明 ClientDetails实现    
public ClientDetailsService clientDetails() {        
    return new JdbcClientDetailsService(dataSource);    
}    
@Override // 配置框架应用上述实现    
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {        
    endpoints.authenticationManager(authenticationManager);                                   endpoints.tokenStore(tokenStore());  
    // 配置TokenServices参数
    DefaultTokenServices tokenServices = new DefaultTokenServices();
    tokenServices.setTokenStore(endpoints.getTokenStore());
    tokenServices.setSupportRefreshToken(false);
    tokenServices.setClientDetailsService(endpoints.getClientDetailsService()); 
    tokenServices.setTokenEnhancer(endpoints.getTokenEnhancer());
    tokenServices.setAccessTokenValiditySeconds( (int) TimeUnit.DAYS.toSeconds(30)); // 30天
    endpoints.tokenServices(tokenServices);    }

这个授权协议蛮复杂的,想完全弄懂还有很长的路要走,但是这是每个开发者必须要去弄懂的,路漫漫。。。
请关注我的公众号:CodeJames

以上是关于再谈OAuth授权的主要内容,如果未能解决你的问题,请参考以下文章

Oauth 2.0 隐式授权有多安全?

OAuth 2.0 代码授权流程

spotifpy oauth 授权代码流程

从客户端 JS 代码中使用 OAuth 授权代码流令牌是不是安全?

在 Angular 中实现 OAuth 2.0 授权代码授予

MVC 5 应用 - 实现 OAuth 授权代码流