背景:

由于业务实现中涉及到接入第三方系统(app接入有赞商城等),所以涉及到第三方系统需要获取用户信息(用户手机号、姓名等),为了保证用户信息的安全和接入方式的统一,

采用Oauth2四种模式之一的授权码模式。

 介绍:

      

  • 第三方系统调用我方提供的授权接口(步骤1)
  • 用户同意授权,后跳转第三方系统(步骤2、3)
  • 第三方系统获得code,根据code到我方系统获取token(步骤5、6 )
  • 根据获取token访问受保护的资源(步骤8、9)

   实际应用中由于合作商户,所以需要直接返回code,不需要用户手动授权,即静默模式,所以需要扩展框架,使其支持自动授权

扩展:

     项目使用的是spring-security-oauth2-2.0.15 由于默认情况下,需要用户授权通过才能生成授权码。所以需简要对框架进行扩展

(1)spring-security-oauth2获取code的controller:

 RequestMapping(value = "/oauth/authorize")

     public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters,

             SessionStatus sessionStatus, Principal principal) {

         // Pull out the authorization request first, using the OAuth2RequestFactory. All further logic should

         // query off of the authorization request instead of referring back to the parameters map. The contents of the

         // parameters map will be stored without change in the AuthorizationRequest object once it is created.

         AuthorizationRequest authorizationRequest = getOAuth2RequestFactory().createAuthorizationRequest(parameters);

         Set<String> responseTypes = authorizationRequest.getResponseTypes();

         if (!responseTypes.contains("token") && !responseTypes.contains("code")) {

             throw new UnsupportedResponseTypeException("Unsupported response types: " + responseTypes);

         }

         if (authorizationRequest.getClientId() == null) {

             throw new InvalidClientException("A client id must be provided");

         }

         try {

             if (!(principal instanceof Authentication) || !((Authentication) principal).isAuthenticated()) {

                 throw new InsufficientAuthenticationException(

                         "User must be authenticated with Spring Security before authorization can be completed.");

             }

             ClientDetails client = getClientDetailsService().loadClientByClientId(authorizationRequest.getClientId());

             // The resolved redirect URI is either the redirect_uri from the parameters or the one from

             // clientDetails. Either way we need to store it on the AuthorizationRequest.

             String redirectUriParameter = authorizationRequest.getRequestParameters().get(OAuth2Utils.REDIRECT_URI);

             String resolvedRedirect = redirectResolver.resolveRedirect(redirectUriParameter, client);

             if (!StringUtils.hasText(resolvedRedirect)) {

                 throw new RedirectMismatchException(

                         "A redirectUri must be either supplied or preconfigured in the ClientDetails");

             }

             authorizationRequest.setRedirectUri(resolvedRedirect);

             // We intentionally only validate the parameters requested by the client (ignoring any data that may have

             // been added to the request by the manager).

             oauth2RequestValidator.validateScope(authorizationRequest, client);

             // Some systems may allow for approval decisions to be remembered or approved by default. Check for

             // such logic here, and set the approved flag on the authorization request accordingly.

             authorizationRequest = userApprovalHandler.checkForPreApproval(authorizationRequest,

                     (Authentication) principal);

             // TODO: is this call necessary?

             boolean approved = userApprovalHandler.isApproved(authorizationRequest, (Authentication) principal);

             authorizationRequest.setApproved(approved);

             // Validation is all done, so we can check for auto approval...

             if (authorizationRequest.isApproved()) {

                 if (responseTypes.contains("token")) {

                     return getImplicitGrantResponse(authorizationRequest);

                 }

                 if (responseTypes.contains("code")) {

                     return new ModelAndView(getAuthorizationCodeResponse(authorizationRequest,

                             (Authentication) principal));

                 }

             }

             // Place auth request into the model so that it is stored in the session

             // for approveOrDeny to use. That way we make sure that auth request comes from the session,

             // so any auth request parameters passed to approveOrDeny will be ignored and retrieved from the session.

             model.put("authorizationRequest", authorizationRequest);

             return getUserApprovalPageResponse(model, authorizationRequest, (Authentication) principal);

         }

         catch (RuntimeException e) {

             sessionStatus.setComplete();

             throw e;

         }

     }

52行到59行可知, 当approved 为true的时候会直接返回code码,不会需要用户授权,所以问题变成了如何让扩展的userApprovalHandler生效

(2)扩展的userApprovalHandler生效

   @Override

   public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

     endpoints

         .tokenStore(tokenStore)

         .authenticationManager(authenticationManager)

         .userDetailsService(authUserDetailService)

         .authorizationCodeServices(new JdbcAuthorizationCodeServices(dataSource))

         .reuseRefreshTokens(false)

         .userApprovalHandler(new AuthApprovalHandler())

         .exceptionTranslator(customWebResponseExceptionTranslator)

     ;

   }

9行:AuthotizationServer中增加配置自定义配置

应用:

(1)获取code值

需要APP端定制webview开发,根据/oauth/authrorize路径参数中增加token

  请求路径:

  参数说明:

参数名称
类型
是否必填
描述
 
response_type
 String 固定值“code” 
client_id
 String 第三方配置的client_id 
redirect_uri
 String 第三方配置的回调地址
     state String 第三方自定义使用


  请求示例:

curl -X POST http://localhost:8421/oauth/authorize -H 'Authorization: Bearer b7c2d63f-edff-4790-add9-0b69df7321b5' -d 'response_type=code&client_id=external&redirect_uri=http://www.baidu.com&state=123'

   返回结果:  重定向redirect_uri路径

(2)获取accessToken(有效期暂定72h

请求参数:

参数名称
类型
是否必填
描述
 
client_id
 String 第三方配置的client_id 
client_secret
 String 第三方配置的密钥
    code String 申请的code 
grant_type
 String 固定值“authorization_code” 
redirect_uri
 String 第三方配置的回调地址,必须与生成code时的uri一样

  请求示例:

curl -X POST http://localhost:8421/oauth/token -d 'grant_type=authorization_code&client_id=external&client_secret=D524C1A0811DA49592F841085CC0063EB62B3001252A94542795D1CA9824A941&redirect_uri=http://www.baidu.com&code=4TCYkV'

  返回结果:

{"access_token":"95b5be18-49a3-44e1-a527-d5da036cfc3f","token_type":"bearer","refresh_token":"b4488c7d-1e8c-4317-a955-1f4bda013a35","expires_in":9891370,"scope":"auth_base"}

  (3) 获取refreshToken

暂时不支持

  (4) 访问资源(用户信息)

根据获取到的授权token访问用户资源信息

请求示例:

curl -X POST https://wuxi.test.brightcns.cn/api/v2/user/external/info -H 'Authorization: Bearer e86d752e-8d72-4a33-aa98-8e158ac5b50b'

 返回结果:

{"success":true,"msg":"success","code":"SUCCESS","data":{"userId":,"phone":,"nickname":"","avatar":"http://wxcardoss.oss-cn-shanghai.aliyuncs.com/null","realName":null,"extendParam":null}}

 

    

Spring Security OAuth2 授权码模式的更多相关文章

  1. 微信授权就是这个原理,Spring Cloud OAuth2 授权码模式

    上一篇文章Spring Cloud OAuth2 实现单点登录介绍了使用 password 模式进行身份认证和单点登录.本篇介绍 Spring Cloud OAuth2 的另外一种授权模式-授权码模式 ...

  2. 阶段5 3.微服务项目【学成在线】_day16 Spring Security Oauth2_06-SpringSecurityOauth2研究-Oauth2授权码模式-申请令牌

    3.3 Oauth2授权码模式 3.3.1 Oauth2授权模式 Oauth2有以下授权模式: 授权码模式(Authorization Code) 隐式授权模式(Implicit) 密码模式(Reso ...

  3. Spring Security 解析(七) —— Spring Security Oauth2 源码解析

    Spring Security 解析(七) -- Spring Security Oauth2 源码解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因 ...

  4. Spring Security OAuth2 源码分析

    Spring Security OAuth2 主要两部分功能:1.生成token,2.验证token,最大概的流程进行了一次梳理 1.Server端生成token (post /oauth/token ...

  5. Spring Security OAuth2 授权失败(401) 问题整理

    Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/0 ...

  6. Spring Security OAuth2 Demo —— 密码模式(Password)

    前情回顾 前几节分享了OAuth2的流程与授权码模式和隐式授权模式两种的Demo,我们了解到授权码模式是OAuth2四种模式流程最复杂模式,复杂程度由大至小:授权码模式 > 隐式授权模式 > ...

  7. Spring Security OAuth2 Demo —— 客户端模式(ClientCredentials)

    前情回顾 前几节分享了OAuth2的流程与其它三种授权模式,这几种授权模式复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式 本文要讲的是最后一种也是最简单 ...

  8. 阶段5 3.微服务项目【学成在线】_day16 Spring Security Oauth2_07-SpringSecurityOauth2研究-Oauth2授权码模式-资源服务授权测试

    下面要完成  5.6两个步骤 3.3.4 资源服务授权 3.3.4.1 资源服务授权流程 资源服务拥有要访问的受保护资源,客户端携带令牌访问资源服务,如果令牌合法则可成功访问资源服务中的资 源,如下图 ...

  9. Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战

    一. 前言 [APP 移动端]Spring Security OAuth2 手机短信验证码模式 [微信小程序]Spring Security OAuth2 微信授权模式 [管理系统]Spring Se ...

随机推荐

  1. Spring Cloud(一):概述以及核心成员介绍

    什么是Spring Cloud? Spring Cloud是一个基于Spring Boot实现的云应用开发工具,它为基于JVM的云应用开发中的配置管理.服务发现.断路器.智能路由.微代理.控制总线.全 ...

  2. JMeter学习笔记(四)

    1. 断言 断言组件是通过获取服务器响应数据,然后根据断言规则去匹配这些响应数据:匹配到是正常现象,此时我们看不到任何提醒,如果匹配不到,即出现了异常情况,此时JMeter就会断定这个事务失败,那么我 ...

  3. 修改JQM的默认配置属性

    从本文开始,使用 jQuery Mobile 与 HTML5 开发 Web App 系列将会进入第三部分——jQuery Mobile 事件与方法,这其中将会利用之前所讲述的 jQuery Mobil ...

  4. 集合运算 蓝桥杯 set容器

    题目描述 给出两个整数集合A.B,求出他们的交集.并集以及B在A中的余集. 输入格式 第一行为一个整数n,表示集合A中的元素个数. 第二行有n个互不相同的用空格隔开的整数,表示集合A中的元素. 第三行 ...

  5. jar 打包命令详解

    原文: https://blog.csdn.net/marryshi/article/details/50751764 本文详细讲述了JAR命令的用法,对于大家学习和总结jar命令的使用有一定的帮助作 ...

  6. Python入门教程 超详细1小时学会Python

    Python入门教程 超详细1小时学会Python 作者: 字体:[增加 减小] 类型:转载 时间:2006-09-08我要评论 本文适合有经验的程序员尽快进入Python世界.特别地,如果你掌握Ja ...

  7. CentOS 7使用systemctl如何补全服务名称

    CentOS 7使用systemctl如何补全服务名称 因为CentOS7的默认安装类型是最小安装,所以默认没有自动补全的功能.要启用这个功能,你需要安装一个bash-completion包,然后退出 ...

  8. HeadFisrt 设计模式03 装饰者

    类应该对扩展开放, 对修改关闭. 所谓装饰者模式, 是指用其他的类来装饰某个类, 装饰者说白了就是使用 has-a 来代替 is-a 隐喻 咖啡店, 有很多种咖啡, 咖啡里还要增加一些 milk, 面 ...

  9. CSS3 实现厉害的文字和输入框组合效果

    最近在忙着弄网站,学到了不少效果,这又是一个厉害的  <html> <head> <meta http-equiv="Content-Type" co ...

  10. [oracle] update语句卡住问题

    执行update语句的时候发现执行半天不成功 update main_order set order_source = '2', order_status = '2' 查询哪些对象被锁 select ...