Spring OAuth2单点登陆流程
- 背景说明
oauth2登录.png
假设系统data需要通过oauth2server进行单点登陆,则
客户端(client) 系统data,服务端(service) oauth2server
服务端示例:oauth2-shiro
- 角色
资源拥有者 (Resource Owner),一个oauth2server的用户
客户端 (Client) ,系统data
授权服务器 (Authorization Server),oauth2server服务器,提供授权码,token等授权信息
资源服务器 (Resource Server), oauth2server服务器,提供用户信息
- 客户端配置
spring:
security:
oauth2:
client:
registration:
cas:
provider: cas
client-id: "test-client"
client-name: "oauth2server"
client-secret: "Test@2015$$"
authorization-grant-type: authorization_code
client-authentication-method: post
#获取用户授权后,重定向地址
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
scope: userinfo
provider:
cas:
#获取用户授权地址
authorization-uri: http://www.oauth2server.com:8081/oauth/authorize
#获取token
token-uri: http://www.oauth2server.com:8081/oauth/token
#获取用户信息
user-info-uri: http://www.oauth2server.com:8083/rs/username
#获取用户信息返回的json中,用户名对应的属性名
user-name-attribute: id
#用户信息映射
userMapping:
email: "email"
name: "name"
avatar: "avatar"
- 授权方式
1.授权码 (grant_type = 'authorization_code') (最广泛的方式)
OAuth2 授权最广泛的方式,给客户端分配的 ID 和密码都是隐藏在后端代码中。因为授权码是基于重定向的方式,要想使用授权码的方式,客户端必须能够调用系统中的应用(譬如浏览器)、和提供一个接口接收服务端的回调获取授权码。
Authorization Cod.png
1.0 获取服务端授权地址
http://localhost:3000/oauth2/authorization/cas?redirect_url=/
浏览器请求客户端,客户端重定向浏览器至服务端授权地址
1.1 浏览器向服务端发起授权请求
1.2 服务端的用户进行授权
授权界面.png
1.3 服务端授权后,带授权码重定向浏览器到客户端
1.4 客户端后台获取服务端的token
curl --location --request POST 'http://www.oauth2server.com:8081/oauth/token?grant_type=authorization_code&code=5c8e698ba9fc1bba3155892da01ed43a&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Flogin%2Foauth2%2Fcode%2Fcas&client_id=test-client&client_secret=Test%402015%24%24' \
--header 'Content-Type: application/x-www-form-urlencoded'
{
"access_token": "eyJraWQiOiJvYXV0aDItc2hpcm8ta2V5aWQiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwianRpIjoiMTdkYjQ3NzI2OTZhMGExNDc2MTU2OTYzNGM1NTdmYzAiLCJpYXQiOjE3MTI3OTk3MjksImV4cCI6MTcxMjg0MjkyOSwiYXVkIjoidGVzdC1jbGllbnQifQ.YQPqnh0XzwpBLZ9enclJk7EPtmAQfg-tuHLtJ_qHZ6g",
"refresh_token": "638e4664a0fd0e7d8a77712f98af3ecc",
"token_type": "Bearer",
"expires_in": 43199
}
1.5 客户端后台获取用户信息
http://www.oauth2server.com:8083/rs/username
curl --location 'http://www.oauth2server.com:8083/rs/username' \
--header 'Authorization: Bearer eyJraWQiOiJvYXV0aDItc2hpcm8ta2V5aWQiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwianRpIjoiMmQwNDAzYmZjZWE5MmVmMTA4NDMzOTMzYzcwZDMyZDQiLCJpYXQiOjE3MTI3NDA2NDgsImV4cCI6MTcxMjc4Mzg0OCwiYXVkIjoidGVzdC1jbGllbnQifQ.PCCfctMld35dTkiJ2fSxuySdhRYIWmUURpZobW_u0S4'
{
"email": "111@qq.com",
"avatar": "头像",
"name": "test",
"id": "test"
}
客户端根据用户信息进行注册登录
2. 隐式(grant_type = 'implicit')
客户端运行在浏览器中,如JS,Flash(不通过client服务器),用户请求授权,同意授权后服务端把 access_token 拼接到回调链接上。
隐式.png
步骤跟authorization code类似,只不过少了授权码:
#请求
http://www.oauth2server.com:8081/accessToken?response_type=token&client_id=demoApp&redirect_uri=CALLBACK_URL
#回调成功
CALLBACK_URL?access_token=41f78007-e2ec-4978-9beb-a830b638d4d8&token_type=bearer&expires_in=1199&scope=all
3. 密码凭证(grant_type = 'password' )
用户直接给客户端提供在提供服务端账号密码,获取服务端的 access_token。
http://www.oauth2server.com:8081/accessToken?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID
4. 客户端凭证(grant_type = 'client_credentials')
http://www.oauth2server.com:8081/accessToken?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET
5. refresh_token(grant_type = 'refresh_token')
如果服务提供平台支持 refresh_token ,那么第三方应用的 access_token 失效之后,可通过 refresh_token 再次获取有效的 access_token
http://www.oauth2server.com:8081/accessToken?grant_type=refresh_token&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&refresh_token=REFRESH_TOKEN
