背景

一直对OAuth 2.0的四种授权模式比较好奇,了解的仅限网上的资料,没有使用代码体验过,这次使用spring-security-oauth2来体验这四种模式的整个过程。

相关代码

pom文件

<dependencies>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

            <version>2.1.4.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

            <version>2.1.4.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.security.oauth</groupId>

            <artifactId>spring-security-oauth2</artifactId>

            <version>2.0.16.RELEASE</version>

            <exclusions>

                <exclusion>

                    <artifactId>spring-core</artifactId>

                    <groupId>org.springframework</groupId>

                </exclusion>

                <exclusion>

                    <artifactId>spring-context</artifactId>

                    <groupId>org.springframework</groupId>

                </exclusion>

                <exclusion>

                    <artifactId>spring-beans</artifactId>

                    <groupId>org.springframework</groupId>

                </exclusion>

                <exclusion>

                    <artifactId>spring-security-core</artifactId>

                    <groupId>org.springframework.security</groupId>

                </exclusion>

            </exclusions>

        </dependency>

        <dependency>

            <groupId>com.google.guava</groupId>

            <artifactId>guava</artifactId>

            <version>26.0-jre</version>

        </dependency>

    </dependencies>


配置类

@Configuration

@EnableAuthorizationServer

public class MyAuthorizationServerConfigurerAdapter extends AuthorizationServerConfigurerAdapter {

    @Override

    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        clients

                .inMemory()

                .withClient("clientUser")

                .secret("{bcrypt}" + new BCryptPasswordEncoder().encode("123456"))

                .authorizedGrantTypes("authorization_code", "implicit", "password", "client_credentials");

    }

    @Override

    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();

        UserDetails userDetails = User.withUsername("username")

                .password("{bcrypt}" + new BCryptPasswordEncoder().encode("password"))

                .roles("123")

                .build();

        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager(userDetails);

        daoAuthenticationProvider.setUserDetailsService(inMemoryUserDetailsManager);

        AuthenticationManager authenticationManager = new ProviderManager(

                Lists.<AuthenticationProvider>newArrayList(daoAuthenticationProvider));

        endpoints.authenticationManager(authenticationManager);

    }

}

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.httpBasic();

    }

    @Bean

    public InMemoryUserDetailsManager inMemoryUserDetailsManager(

            SecurityProperties properties) {

        SecurityProperties.User user = properties.getUser();

        List<String> roles = user.getRoles();

        return new InMemoryUserDetailsManager(User.withUsername("user")

                .password("{bcrypt}" + new BCryptPasswordEncoder().encode("123456"))

                .roles(StringUtils.toStringArray(roles)).build());

    }

}


启动类

@SpringBootApplication(

        exclude = UserDetailsServiceAutoConfiguration.class

        // excludeName = "org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration"

)

public class SpringSecurityStudyApplication {

    public static void main(String[] args) {

        SpringApplication.run(SpringSecurityStudyApplication.class, args);

    }

}

授权码模式

第一步 访问GET /oauth/authorize

相关代码在org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint

org.springframework.security.oauth2.provider.endpoint.WhitelabelApprovalEndpoint

请求参数和返回结果如下:

返回结果在浏览器上展示的话,是让用户来勾选是否同意授权的一个页面,还有返回结果的_csrf的值要作为第二步的参数。

curl如下:

curl --location --request GET 'http://127.0.0.1:8090/oauth/authorize?response_type=code&client_id=clientUser&redirect_uri=https://www.baidu.com/&scope=scope' \

--header 'Authorization: Basic dXNlcjoxMjM0NTY=' \

--header 'Cookie: JSESSIONID=AB254815273DB81F1F3BAF74E94DAAB6'

第二步 访问POST /oauth/authorize

相关代码在org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint

crul如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/authorize?user_oauth_approval=true&scope.scope=true&_csrf=a95516db-6ce2-4033-9b81-1060b6c4d829' \

--header 'Cookie: JSESSIONID=73E846796ACB7818E09B93AC4CFD320D'

_csrf 要使用第一步返回的结果,在返回头的Location里可以得到授权码

第一个参数必须要有,因为:

<input name="user_oauth_approval" value="true" type="hidden"/>

@RequestMapping(value = "/oauth/authorize", method = RequestMethod.POST, params = OAuth2Utils.USER_OAUTH_APPROVAL)

public View approveOrDeny(@RequestParam Map<String, String> approvalParameters, Map<String, ?> model, SessionStatus sessionStatus, Principal principal) {

}

public static final String USER_OAUTH_APPROVAL = "user_oauth_approval";

第二个参数是用户是否同意授权

第三步 访问POST /oauth/token

相关代码在org.springframework.security.oauth2.provider.endpoint.TokenEndpoint

code 使用第二步的返回结果

crul如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/token' \

--header 'Authorization: Basic Y2xpZW50VXNlcjoxMjM0NTY=' \

--header 'Content-Type: application/x-www-form-urlencoded' \

--header 'Cookie: JSESSIONID=5D41BF01BC875BDF266D3C2178537F21' \

--data-urlencode 'grant_type=authorization_code' \

--data-urlencode 'code=1pakV1' \

--data-urlencode 'redirect_uri=https://www.baidu.com/' \

--data-urlencode 'client_id=clientUser' \

--data-urlencode 'scope=scope'

简化模式

第一步 访问GET /oauth/authorize

crul如下:

curl --location --request GET 'http://127.0.0.1:8090/oauth/authorize?response_type=token&client_id=clientUser&redirect_uri=https://www.baidu.com/&scope=scope' \

--header 'Authorization: Basic dXNlcjoxMjM0NTY=' \

--header 'Cookie: JSESSIONID=6AD429F6CF30C10C0E9F1A35EC78A790'

第二步 访问POST /oauth/authorize



crul如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/authorize?user_oauth_approval=true&scope.scope=true&_csrf=1ba6be5e-845f-47f2-9680-db613adc47c7' \

--header 'Cookie: JSESSIONID=6AD429F6CF30C10C0E9F1A35EC78A790'

密码模式

直接 访问POST /oauth/token

curl如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/token' \

--header 'Authorization: Basic Y2xpZW50VXNlcjoxMjM0NTY=' \

--header 'Content-Type: application/x-www-form-urlencoded' \

--header 'Cookie: JSESSIONID=7E149951AB7D3C03E31E21450754DAAE' \

--data-urlencode 'grant_type=password' \

--data-urlencode 'username=username' \

--data-urlencode 'scope=scope' \

--data-urlencode 'password=password'

客户端模式

直接 访问POST /oauth/token

curl如下:

curl --location --request POST 'http://127.0.0.1:8090/oauth/token' \

--header 'Authorization: Basic Y2xpZW50VXNlcjoxMjM0NTY=' \

--header 'Content-Type: application/x-www-form-urlencoded' \

--header 'Cookie: JSESSIONID=7E149951AB7D3C03E31E21450754DAAE' \

--data-urlencode 'grant_type=client_credentials' \

--data-urlencode 'scope=scope'

参考

理解OAuth 2.0 - 阮一峰

使用 spring-security-oauth2 体验 OAuth 2.0 的四种授权模式的更多相关文章

  1. OAuth 2.0 的四种授权模式

    RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件.该文件先解释了 OAuth 是什么. OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者.......资源 ...

  2. OAuth2.0的四种授权模式

    1.什么是OAuth2 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OA ...

  3. OAuth2.0的四种授权模式(转)

    1. OAuth2简易实战(一)-四种模式 1.1. 隐式授权模式(Implicit Grant) 第一步:用户访问页面时,重定向到认证服务器. 第二步:认证服务器给用户一个认证页面,等待用户授权. ...

  4. OAuth 2.0 的四种方式

    上一篇文章介绍了 OAuth 2.0 是一种授权机制,主要用来颁发令牌(token).本文接着介绍颁发令牌的实务操作. 下面我假定,你已经理解了 OAuth 2.0 的含义和设计思想,否则请先阅读这个 ...

  5. OAuth2.0 四种授权模式

    OAuth2.0简单笔记(四种授权模式) 金天:坚持写东西,不是一件容易的事,换句话说其实坚持本身都不是一件容易的事.如果学习有捷径,那就是不断实践,不断积累.写笔记,其实是给自己看的,是体现积累的一 ...

  6. OAuth2.0学习(2-1)Spring Security OAuth2.0 开发指南

    开发指南:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供者实际 ...

  7. Spring Security OAuth2.0认证授权一:框架搭建和认证测试

    一.OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容. 1.s ...

  8. Spring Security OAuth2 开发指南

    官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:htt ...

  9. Spring Security OAuth2 开发指南(非最新版本)

    请注意哈,本文翻译的时候,官网的的版本和本文翻译的时候是一一对应的. 但是官网已经更新文档和概念了,因此和本文翻译的就不在是同一个范围了. 因此我已经将标题修改为(非最新版本),各位老铁直接看官网就可 ...

随机推荐

  1. XCTF练习题---MISC---easycap

    XCTF练习题---MISC---easycap flag:FLAG:385b87afc8671dee07550290d16a8071 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现是一个流量 ...

  2. 一文彻底搞懂MySQL分区

    一个执着于技术的公众号 一.InnoDB逻辑存储结构 首先要先介绍一下InnoDB逻辑存储结构和区的概念,它的所有数据都被逻辑地存放在表空间,表空间又由段,区,页组成. 段 段就是上图的segment ...

  3. MyBatisPlus 入门教程,这篇很赞

    在之前的文章中我们经常使用MybatisPlus进行增删改查,可能有些小伙伴对mybatisplus不是很熟悉,今天特意出了一般入门级的教程,我自己也是一边学习一边写的,有什么地方写的不好的地方请留意 ...

  4. git 撤销远程 commit

    参考: https://blog.csdn.net/xs20691718/article/details/51901161 https://www.cnblogs.com/lfxiao/p/93787 ...

  5. c++:-9

    上节(c++:-8)主要学习了C++的流类库和输入输出,本节学习C++的异常处理. 异常处理 介绍 (1)异常处理的基本思想: (2)异常处理的语法: (3)举例:处理除0异常 #include &l ...

  6. 每天一个 HTTP 状态码 101

    101 Switching Protocols 当客户端的请求具有 Upgrade HTTP 首部,表示要求服务器切换到指定协议:此时服务器端就可以向客户端响应 101 Switching Proto ...

  7. Primal_Dual 原始对偶

    不是费用流都需要用 SPFA 吗. 众所周知,SPFA 去世了,然后网络流显然有负边.于是我们可以像 Johnson 全源最短路一样,给边加上势能,具体实现看我之前的 博客 啦. 然后对于每一次跑 D ...

  8. 以字节跳动内部 Data Catalog 架构升级为例聊业务系统的性能优化

    背景 字节跳动 Data Catalog 产品早期,是基于 LinkedIn Wherehows 进行二次改造,产品早期只支持 Hive 一种数据源.后续为了支持业务发展,做了很多修修补补的工作,系统 ...

  9. android系统中有哪些日志

    日志目录 android系统中还有很多常用的日志目录.我们可以通过adb命令把这些日志信息提取出来. data/system/dropbox data/system/usagestats data/s ...

  10. 前端学习 linux —— 第一篇

    前端学习 linux - 第一篇 本文主要介绍"linux 发行版本"."cpu 架构"."Linux 目录结构"."vi 和 v ...