Spring Security OAuth2认证授权示例详解

Spring Security OAuth2认证授权示例详解认证授权示例详解

主要介绍了Spring Security OAuth2认证授权示例详解，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一

起学习学习吧

本文介绍了如何使用Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token，并使用这个access_token来从资源服务器请求数据。

1.概述概述

OAuth2是一种授权方法，用于通过HTTP协议提供对受保护资源的访问。首先，OAuth2使第三方应用程序能够获得对HTTP服务的有限访问权限，然后通过资源所有者和HTTP服务之间的批准交互

来让第三方应用程序代表资源所有者获取访问权限。

1.1 角色角色

1.2 访问令牌与刷新令牌访问令牌与刷新令牌

访问令牌代表一个向客户授权的字符串。令牌包含了由资源所有者授予的权限范围和访问持续时间，并由资源服务器和授权服务器强制执行。

授权服务器向客户端发出刷新令牌，用于在当前访问令牌失效或过期时获取新的访问令牌，或获取具有相同或更窄范围的其他访问令牌，新的访问令牌可能具有比资源所有者授权的更短的生命周期

和更少的权限。根据授权服务器的判断，发布刷新令牌是可选的。

访问令牌的责任是在数据到期之前访问它。

刷新令牌的责任是在现有访问令牌过期时请求新的访问令牌。

2. OAuth2 - 授权服务器授权服务器

要使用spring Security OAuth2模块创建授权服务器，我们需要使用注解@EnableAuthorizationServer并扩展AuthorizationServerConfigurerAdapter类。

@Configuration

@EnableAuthorizationServer

security.tokenKeyAccess("permitAll()")

.checkTokenAccess("isAuthenticated()")

.allowFormAuthenticationForClients();

}

@Override

public void configure(ClientDetailsServiceConfigurer clients)

throws Exception {

clients.inMemory().withClient("clientapp")

.secret(passwordEncoder.encode("654321"))

.authorizedGrantTypes("password", "authorization_code",

}

}

Spring Security OAuth2会公开了两个端点，用于检查令牌（/oauth/check_token和/oauth/token_key），这些端点默认受保护denyAll()。tokenKeyAccess（）和checkTokenAccess（）方法会打开

这些端点以供使用。

ClientDetailsServiceConfigurer用于定义客户端详细的服务信息，它可以在内存中或在数据库中定义。

在本例中我们使用了内存实现。它具有以下重要属性：

clientId - （必需）客户端ID。

secret - （可信客户端所需）客户端密钥（可选）。

scope - 客户受限的范围。如果范围未定义或为空（默认值），则客户端不受范围限制。

authorizedGrantTypes - 授权客户端使用的授权类型。默认值为空。

public class OAuth2ResourceServer extends ResourceServerConfigurerAdapter {

@Override

public void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.antMatchers("/").permitAll()

.antMatchers("/api/**").authenticated();

}

}

以上配置启用/api下所有端点的保护，但可以自由访问其他端点。