Spring Boot Oauth2

Oauth2是描述无状态授权的协议（授权框架），因为是无状态，所以我们不需要维护客户端和服务器之间的会话。

Oauth2的工作原理：

　　此协议允许第三方客户端代表资源所有者访问受保护资源，Oauth2有四个基本角色：

　　资源所有者-就是资源的所有者 resource owner

　　资源服务器-托管所有受保护资源的服务器

　　客户端-访问资源服务器的应用程序

　　授权服务器-处理客户端发出访问令牌的服务器，这可以是与资源服务器相同的服务器

此外，有两种类型的令牌：

　　访问令牌（accessToken），通常具有有限的生命周期，并允许客户端听过在请求标头中包含此令牌来访问受保护资源

　　刷新令牌（refreshToken），刷新具有更长的生命周期的令牌，用于在新的访问令牌到期后获取新访问令牌（无需再次向服务器发送凭据）

一般的访问令牌和刷新令牌周期设置为多久才更合适呢？

　　阿里巴巴速卖通授权产生的Token，AccessToken有效期时间是10个小时，RefreshToken有效时间是半年；QQ的AccessToken有效期时间是30天，因为AccessToken的有效期时间比较长，所以并没有RefreshToken的说法；微信的AccessToken是2个小时，RefreshToken是30天；新浪的AccessToken的有效期是7天；一般accessToken设置短一点一到两个小时，accessToken时间太长一旦accessToken泄露就会

RefreshToken可以设置长一点。

客户端需要在服务器上注册才能接受客户端ID（clientId）和客户端秘钥（clientSercet），这些客户端id和客户端秘钥稍后在请求访问令牌时使用。每个令牌具有由用户在于授权服务器通信时定义的范围（例如，用户授权客户端应用访问资源服务器上的某些资源）。

Oauth2定义了4种不同的授权类型。这些授权类型定义客户端和身份验证/资源服务器的交互。

　　授权码模式-机密客户端基于重定向的流程，客户端通过用户代码（web浏览器等）与服务器进行通信，典型的web服务器。

　　隐式类型（简化模式）-不通过第三方应用程序的服务器，直接在浏览器上向认证服务器申请令牌，跳过了“授权码”这个步骤，所有步骤在浏览器中完成，令牌对访问者可见，且客户端不需要认证。

　　资源所有者密码凭证（密码模式）-与受信任的客户端一起使用，用户凭证将传给客户端，然后传给认证服务器并交换访问和刷新令牌。

　　客户端凭证-在客户端本身是资源所有者（一个客户端不与多个用户一起运行）时使用，客户端凭证直接交换给令牌。

运行流程：摘自RFC 6749

　　

（A）：用户打开客户端之后，客户端要求用户给予授权

（B）：用户同意给予客户端授权

（C）：客户端使用（B）步骤获得的授权，像认证服务器申请令牌

（D）：认证服务器对客户端进行认证以后，确认无误，同意发放令牌（accessToken）。

（E）：客户端使用（D）步骤获得的accessToken，向资源服务器申请获取资源。

（F）：资源服务器确定令牌无误之后，同意向客户端开放保护资源。

B步骤中，用户怎么给予客户端授权呢？？

只有客户端获得授权，才能向认证服务器去申请访问令牌。从而根据这个令牌去向资源服务器去请求获得资源。

客户端的授权模式有四种，就是上面说的四种模式，这边主要对这四种模式进行详细讲解。

1、授权码模式：通过客户端的后台服务器与认证服务器进行交互。流程如下：

（A）：用户访问客户端，客户端将用户导向认证服务器，也就是引导直接去访问认证服务器

（B）：然后用户选择是否给予客户端授权

（C）：假如用户给予授权，认证服务器则将用户导向客户端实现指定的“重定向URI”（redirection URI），同时附上一个授权码。

（D）：当客户端收到这个授权码之后，附上早先的“重定向URI”，直接去访问认服务器向认证服务器去申请accessToken（令牌）。

（E）：认证服务器确认了Authorization Code（授权码）和Redirection URI（重定向URI）无误之后，向客户端返回访问令牌（accessToken）和刷新令牌（refreshToken）；

A步骤中，客户端申请授权码的URI中需要一些参数：

　　response_type：标识授权类型，必选项，此处的值固定为“code”

　　clientId：客户端ID，必选项

　　redirect_uri：标识重定向URI，此处为可选项

　　scope：表示申请的权限范围，可选项

　　state：表示客户端当前的状态，可以指定任意值，认证服务器会原封不动的返回这个值。

C步骤中，认证服务器回应给客户端的URI，必须包括以下的参数。

　　code：表示授权码，必选项。该码的有效期应该会很短，通常设为10分钟，客户端只能用这个授权码一次，否则会被授权服务器拒绝。该码与客户端ID和重定向URI是一一对应的关系。

　　state：如果客户端的请求中包含这个参数，认证服务器返回的应该是这个一模一样的参数。

D步骤中，客户端根据授权码去向认证服务器申请accessToken（令牌）的请求，包含以下几个参数：

　　grant_type：表示使用的是授权模式，必选项，此处的值固定为“authorization_code”，

　　code：表示用于再给客户端授权的时候获得的授权码，也就是C步骤中获得的授权码。

　　redirect_uri：表示重定向uri，必选项，且必须为A步骤中参数的值保持一致。

　　clientId：表示客户端ID，表示的是必选项。

E步骤中，认证服务器对授权码和重定向URI进行认证之后，返回的Http恢复包括以下的参数：

　　accessToken：表示授权令牌，必选项。

　　token_type：表示令牌类型，该值的大小写不敏感，可以为bearer类型或者是mac类型

　　expires_in：表示过期时间，单位为秒，如果省略这个参数，必须使用其他的方式设置过期时间。

　　refreshToken：表示更新令牌，作用是为了下一次获取访问令牌，也就是accessToken。可选项，有的也没有设置，但是尽量设置。

　　scope：表示权限范围，如果与客户端申请授权码的一致，那么这一步可以省略。

其实我们可以采用postMan去获得accessToken如下，这是使用postMan去获得accessToken的参数：

下图则是获得的accessToken：

2、简化模式或者隐式模式（implicit grant type）：不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了“获得授权码”这个步骤。所有的步骤在浏览器中完成，令牌对访问者是可见的，且客户端不需要认证。

（A）：跟之前的一样，客户端将用户导向认证服务器

（B）：用户决定是否给予客户端授权

（C）：假设用户给予授权，认证服务器将用户导向客户端指定的“重定向URI”，并在URI的Hash部分包含了访问令牌（accessToken）

（D）：浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值

（E）：资源服务器返回一个网页，其中包含的代码可以获得hash值中的令牌。

（F）：浏览器执行上一步获得的脚本，提取出令牌

（G）：浏览器将accessToken（访问令牌）发给客户端

3、密码模式：用户向客户端提供自己的用户名和密码，客户端使用这些信息向服务提供商索要授权。

（A）：用户向客户端提供用户名和密码。

（B）：客户端向认证服务器请求访问令牌（accessToken）

（C）：认证服务器确认无误之后，向客户端提供accessToken（访问令牌）

4、客户端模式：指客户端以自己的名义，而不是以用户的名义，向服务器提供商进行认证，严格的说客户端模式并不属于oauth框架索要解决的问题，在这种模式中，用户直接向客户端注册，客户端以自己的名义要求服务器提供商提供服务，其实不存在授权问题。

（A）：客户端直接向认证服务器去进行身份认证，并要求一个访问令牌

（B）：认证服务器进行认证之后，向客户端返回一个accessToken。