背景

一直对OAuth 2.0的四种授权模式比较好奇,了解的仅限网上的资料,没有使用代码体验过,这次使用spring-security-oauth2来体验这四种模式的整个过程。

相关代码

pom文件

<dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

            <version>2.1.4.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

            <version>2.1.4.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.security.oauth</groupId>

            <artifactId>spring-security-oauth2</artifactId>

            <version>2.0.16.RELEASE</version>

            <exclusions>

                <exclusion>

                    <artifactId>spring-core</artifactId>

                    <groupId>org.springframework</groupId>

                </exclusion>

                <exclusion>

                    <artifactId>spring-context</artifactId>

                    <groupId>org.springframework</groupId>

                </exclusion>

                <exclusion>

                    <artifactId>spring-beans</artifactId>

                    <groupId>org.springframework</groupId>

                </exclusion>

                <exclusion>

                    <artifactId>spring-security-core</artifactId>

                    <groupId>org.springframework.security</groupId>

                </exclusion>

            </exclusions>

        </dependency>

        <dependency>

            <groupId>com.google.guava</groupId>

            <artifactId>guava</artifactId>

            <version>26.0-jre</version>

        </dependency>

    </dependencies>


配置类

@Configuration

@EnableAuthorizationServer

public class MyAuthorizationServerConfigurerAdapter extends AuthorizationServerConfigurerAdapter {

    @Override

    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        clients

                .inMemory()

                .withClient("clientUser")

                .secret("{bcrypt}" + new BCryptPasswordEncoder().encode("123456"))

                .authorizedGrantTypes("authorization_code", "implicit", "password", "client_credentials");

    }

    @Override

    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();

        UserDetails userDetails = User.withUsername("username")

                .password("{bcrypt}" + new BCryptPasswordEncoder().encode("password"))

                .roles("123")

                .build();

        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager(userDetails);

        daoAuthenticationProvider.setUserDetailsService(inMemoryUserDetailsManager);

        AuthenticationManager authenticationManager = new ProviderManager(

                Lists.<AuthenticationProvider>newArrayList(daoAuthenticationProvider));

        endpoints.authenticationManager(authenticationManager);

    }

}

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.httpBasic();

    }

    @Bean

    public InMemoryUserDetailsManager inMemoryUserDetailsManager(

            SecurityProperties properties) {

        SecurityProperties.User user = properties.getUser();

        List<String> roles = user.getRoles();

        return new InMemoryUserDetailsManager(User.withUsername("user")

                .password("{bcrypt}" + new BCryptPasswordEncoder().encode("123456"))

                .roles(StringUtils.toStringArray(roles)).build());

    }

}


启动类

@SpringBootApplication(

        exclude = UserDetailsServiceAutoConfiguration.class

        // excludeName = "org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration"

)

public class SpringSecurityStudyApplication {

    public static void main(String[] args) {

        SpringApplication.run(SpringSecurityStudyApplication.class, args);

    }

}

授权码模式

第一步 访问GET /oauth/authorize

相关代码在org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint

org.springframework.security.oauth2.provider.endpoint.WhitelabelApprovalEndpoint

请求参数和返回结果如下:

返回结果在浏览器上展示的话,是让用户来勾选是否同意授权的一个页面,还有返回结果的_csrf的值要作为第二步的参数。

curl如下:

curl --location --request GET 'http://127.0.0.1:8090/oauth/authorize?response_type=code&client_id=clientUser&redirect_uri=https://www.baidu.com/&scope=scope' \

--header 'Authorization: Basic dXNlcjoxMjM0NTY=' \

--header 'Cookie: JSESSIONID=AB254815273DB81F1F3BAF74E94DAAB6'

第二步 访问POST /oauth/authorize

相关代码在org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint

crul如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/authorize?user_oauth_approval=true&scope.scope=true&_csrf=a95516db-6ce2-4033-9b81-1060b6c4d829' \

--header 'Cookie: JSESSIONID=73E846796ACB7818E09B93AC4CFD320D'

_csrf 要使用第一步返回的结果,在返回头的Location里可以得到授权码

第一个参数必须要有,因为:

<input name="user_oauth_approval" value="true" type="hidden"/>

@RequestMapping(value = "/oauth/authorize", method = RequestMethod.POST, params = OAuth2Utils.USER_OAUTH_APPROVAL)

public View approveOrDeny(@RequestParam Map<String, String> approvalParameters, Map<String, ?> model, SessionStatus sessionStatus, Principal principal) {

}

public static final String USER_OAUTH_APPROVAL = "user_oauth_approval";

第二个参数是用户是否同意授权

第三步 访问POST /oauth/token

相关代码在org.springframework.security.oauth2.provider.endpoint.TokenEndpoint

code 使用第二步的返回结果

crul如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/token' \

--header 'Authorization: Basic Y2xpZW50VXNlcjoxMjM0NTY=' \

--header 'Content-Type: application/x-www-form-urlencoded' \

--header 'Cookie: JSESSIONID=5D41BF01BC875BDF266D3C2178537F21' \

--data-urlencode 'grant_type=authorization_code' \

--data-urlencode 'code=1pakV1' \

--data-urlencode 'redirect_uri=https://www.baidu.com/' \

--data-urlencode 'client_id=clientUser' \

--data-urlencode 'scope=scope'

简化模式

第一步 访问GET /oauth/authorize

crul如下:

curl --location --request GET 'http://127.0.0.1:8090/oauth/authorize?response_type=token&client_id=clientUser&redirect_uri=https://www.baidu.com/&scope=scope' \

--header 'Authorization: Basic dXNlcjoxMjM0NTY=' \

--header 'Cookie: JSESSIONID=6AD429F6CF30C10C0E9F1A35EC78A790'

第二步 访问POST /oauth/authorize



crul如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/authorize?user_oauth_approval=true&scope.scope=true&_csrf=1ba6be5e-845f-47f2-9680-db613adc47c7' \

--header 'Cookie: JSESSIONID=6AD429F6CF30C10C0E9F1A35EC78A790'

密码模式

直接 访问POST /oauth/token

curl如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/token' \

--header 'Authorization: Basic Y2xpZW50VXNlcjoxMjM0NTY=' \

--header 'Content-Type: application/x-www-form-urlencoded' \

--header 'Cookie: JSESSIONID=7E149951AB7D3C03E31E21450754DAAE' \

--data-urlencode 'grant_type=password' \

--data-urlencode 'username=username' \

--data-urlencode 'scope=scope' \

--data-urlencode 'password=password'

客户端模式

直接 访问POST /oauth/token

curl如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/token' \

--header 'Authorization: Basic Y2xpZW50VXNlcjoxMjM0NTY=' \

--header 'Content-Type: application/x-www-form-urlencoded' \

--header 'Cookie: JSESSIONID=7E149951AB7D3C03E31E21450754DAAE' \

--data-urlencode 'grant_type=client_credentials' \

--data-urlencode 'scope=scope'

参考

理解OAuth 2.0 - 阮一峰

使用 spring-security-oauth2 体验 OAuth 2.0 的四种授权模式的更多相关文章

  1. OAuth 2.0 的四种授权模式

    RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件.该文件先解释了 OAuth 是什么. OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者.......资源 ...

  2. OAuth2.0的四种授权模式

    1.什么是OAuth2 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OA ...

  3. OAuth2.0的四种授权模式(转)

    1. OAuth2简易实战(一)-四种模式 1.1. 隐式授权模式(Implicit Grant) 第一步:用户访问页面时,重定向到认证服务器. 第二步:认证服务器给用户一个认证页面,等待用户授权. ...

  4. OAuth 2.0 的四种方式

    上一篇文章介绍了 OAuth 2.0 是一种授权机制,主要用来颁发令牌(token).本文接着介绍颁发令牌的实务操作. 下面我假定,你已经理解了 OAuth 2.0 的含义和设计思想,否则请先阅读这个 ...

  5. OAuth2.0 四种授权模式

    OAuth2.0简单笔记(四种授权模式) 金天:坚持写东西,不是一件容易的事,换句话说其实坚持本身都不是一件容易的事.如果学习有捷径,那就是不断实践,不断积累.写笔记,其实是给自己看的,是体现积累的一 ...

  6. OAuth2.0学习(2-1)Spring Security OAuth2.0 开发指南

    开发指南:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供者实际 ...

  7. Spring Security OAuth2.0认证授权一:框架搭建和认证测试

    一.OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容. 1.s ...

  8. Spring Security OAuth2 开发指南

    官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:htt ...

  9. Spring Security OAuth2 开发指南(非最新版本)

    请注意哈,本文翻译的时候,官网的的版本和本文翻译的时候是一一对应的. 但是官网已经更新文档和概念了,因此和本文翻译的就不在是同一个范围了. 因此我已经将标题修改为(非最新版本),各位老铁直接看官网就可 ...

随机推荐

  1. 《HelloGitHub》第 73 期

    兴趣是最好的老师,HelloGitHub 让你对编程感兴趣! 简介 HelloGitHub 分享 GitHub 上有趣.入门级的开源项目. https://github.com/521xueweiha ...

  2. k8s入门之ConfigMap(九)

    ConfigMap是k8s的配置管理工具,通常用来保存明文的配置信息,以key-value形式传递配置. 一.使用命令创建ConfigMap对象 1.通过--from-literal参数创建 kube ...

  3. 【问题解决】'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed.

    问题复述 今天项目组有人找我说之前部署的程序在测试环境没问题,到生产环境出现了奇怪的问题,点按钮没反应. 我通过腾讯会议发现他们的浏览器控制台上打出了如下错误: Access to XMLHttpRe ...

  4. Linuxshell脚本-格式-变量-条件测试

    1.Linuxshell脚本格式 脚本文件名称格式: 1.NAME.sh.脚本文件名称必须以 .sh 结尾 脚本编辑第一行必须包括shell声明序列:#! 添加注释,注释以#开头     2.加3执行 ...

  5. Linux 服务器的性能参数指标总结

    关注「开源Linux」,选择"设为星标" 回复「学习」,有我为您特别筛选的学习资料~ 前言 一个基于 Linux 操作系统的服务器运行的同时,也会表征出各种各样参数信息.通常来说运 ...

  6. 为什么Redis要比Memcached更火?

    关注「开源Linux」,选择"设为星标" 回复「学习」,有我为您特别筛选的学习资料~ 前言 我们都知道,Redis和Memcached都是内存数据库,它们的访问速度非常之快.但我们 ...

  7. 用js给闺女做了一个加减乘除的html

    下班回家用二十分钟给闺女做了一个加减乘除的页面,顺便记录下代码,时间仓促,后期再来修改吧 目录结构 -yq --menu.html --yq.html --yq50.html --yq70.html ...

  8. JSON数据传输大法第一式——用OADate处理日期格式

    JSON作为一种轻量级的数据交换格式,通常采用完全独立于编程语言的文本格式来存储和表示数据.它的层次结构简洁清晰,易于人们的阅读和编写,此外机器编写和生成也会变得容易,可以有效地提升网络传输效率,这些 ...

  9. 75. Sort Colors - LeetCode

    Question 75. Sort Colors Solution 题目大意: 给一个数组排序,这个数组只有0,1,2三个元素,要求只遍历一遍 思路: 记两个索引,lowIdx初始值为0,highId ...

  10. 羿网通WT2100网络测试仪端口开关功能应用案例

    端口开关是羿网通WT2100具备的一项全局性的功能,使用客户端软件Packlark连接WT2100后无需进入具体功能即可使用.该功能是通过控制设备上的以太网开关实现快速.便捷地切换网口通断状态的目标, ...