Spring Security 與 OAuth2(介紹)
阿新 • • 發佈:2020-08-17
摘要:使用OAuth2 認證的好處就是你只需要一個賬號密碼,就能在各個網站進行訪問,而面去了在每個網站都進行註冊的繁瑣過程,如:很多網站都可以使用微信登入,網站作為第三方服務、微信作為服務提供商
OAuth2 角色
- resource owner:資源所有者(指使用者)
- resource server:資源伺服器存放受保護資源,要訪問這些資源,需要獲得訪問令牌(下面例子中的 Twitter 資源伺服器)
- client:客戶端代表請求資源伺服器資源的第三方程式(下面例子中的 Quora)客戶端同時也可能是一個資源伺服器
- authrization server:授權伺服器用於發放訪問令牌給客戶端(下面例子中的 Twitter 授權伺服器)
OAuth2 工作流程例子
- 客戶端 Quora 將自己註冊到授權伺服器上
- 使用者訪問 Quora 主頁,它顯示了各種登陸選項
- 當用戶點選使用 Twitter 登陸時,Quora 開啟一個新視窗,將使用者重定向到 Twitter 的登陸頁面上
- 在這個新視窗中,使用者使用他的賬號密碼登陸了 Twitter
- 如果使用者之前未授權 Quora 應用程式使用他們的資料,則 Twitter 要求使用者授權 Quora 來訪問使用者資訊許可權,如果使用者已授權 Quora,此步驟則被跳過
- 經過正確的身份驗證,Twitter 將使用者和一個身份驗證程式碼重定向到 Quora 的重定向 URI
- Quora 傳送客戶端 ID、客戶端令牌和身份驗證程式碼到 Twitter
- Twitter 驗證這些引數後,將訪問令牌傳送到 Quora
- 成功獲取訪問令牌後用戶被登陸到 Quora 上,使用者登入 Quora 後點擊他們的個人資料頁面
- Quora 從 Twitter 資源伺服器請求使用者的資源,併發送訪問令牌
- Twitter 資源伺服器使用 Twitter 授權伺服器驗證訪問令牌
- 成功驗證訪問令牌後,Twitter 資源伺服器向 Quora 提供所需要的資源
- Quora 使用這些資源,並最終顯示使用者的個人資料頁面
OAuth2 授權模式(出自阮一峰OAuth2部落格)
授權碼模式
- 授權碼模式是功能最完整、流程最嚴密的授權模式,它的特點是通過客戶端的後臺伺服器,與“伺服器提供”的認證伺服器進行互動
- 它的步驟如下:
- (A)使用者訪問客戶端,後者將前者導向認證伺服器
- (B)使用者選擇是否給予客戶端授權
- (C)假設使用者給予授權,認證伺服器將使用者導向客戶端事先指定的“重定向 URI”,同時附上一個授權碼
- (D)客戶端收到授權碼,附上早先的“重定向 URI”向認證伺服器申請令牌,這一步是在客戶端的後臺伺服器上完成的,對使用者不可見
- (E)認證伺服器核對了授權碼和重定向URI,確認無誤後向客戶端傳送令牌和更新令牌
- 上述步驟中所需要的引數:
- A步驟中,客戶端申請認證的 URI,包含以下引數:
- repsone_type:授權型別,必選,此處固定值“code”
- client_id:客戶端的ID,必選
- client_secret:客戶端的密碼,可選
- redirect_uri:重定向URI,可選
- scope:申請的許可權範圍,可選
- state:客戶端當前的狀態,可以指定任意值,認證伺服器會原封不動的返回這個值
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
- C步驟中,伺服器迴應客戶端的URI,包含以下引數:
- code:表示授權碼,必須按,該碼有效期應該很短,通常10分鐘,客戶端只能使用一次,否則會被授權伺服器拒絕,該碼與客戶端 ID 和 重定向 URI 是一一對應關係
- state:如果客戶端請求中包含著歌引數,認證伺服器的迴應也必須一模一樣包含這個引數
HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz
- D步驟中,客戶端向認證伺服器申請令牌的HTTP請求,包含以下引數:
- grant_type:表示使用的授權模式,必選,此處固定值為“authorization_code”
- code:表示上一步獲得的授權嗎,必選
- redirect_uri:重定向URI,必選,與步驟 A 中保持一致
- client_id:表示客戶端ID,必選
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
- E步驟中,認證伺服器傳送的HTTP回覆,包含以下引數:
- access_token:表示令牌,必選
- token_type:表示令牌型別,該值大小寫不敏感,必選,可以是 bearer 型別或 mac 型別
- expires_in:表示過期時間,單位為秒,若省略該引數,必須設定其它過期時間
- refresh_token:表示更新令牌,用來獲取下一次的訪問令牌,可選
- scope:表示許可權範圍
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
- 從上面程式碼可以看到,引數使用 JSON 格式傳送(Content-Type: application/json),才外,HTTP頭資訊中明確指定不得快取
- A步驟中,客戶端申請認證的 URI,包含以下引數:
簡化模式
- 簡化模式不通過第三方應用程式的伺服器,直接在瀏覽器中向認證伺服器申請令牌,跳過了“授權碼”這個步驟
- 它的步驟如下:
- (A)客戶端將使用者導向認證伺服器
- (B)使用者決定是否給予客戶端授權
- (C)假設使用者給予授權,認證伺服器將使用者導向客戶端指定的“重定向URI”,並在URI的Hash部分包含了訪問令牌
- (D)瀏覽器向資源伺服器發出請求,其中不包括上一步收到的Hash值
- (E)資源伺服器返回一個網頁,其中包含了程式碼可以獲取Hash值中的令牌
- (F)瀏覽器執行上一步獲得的指令碼,取出令牌
- (G)瀏覽器將令牌發給客戶端
- 上述步驟中所需要的引數:
- A步驟中,客戶端發出HTTP請求,包含以下引數:
- response_type:表示授權型別,此處固定值為"token",必選
- client_id:表示客戶端ID,必選
- redirect_uri:表示重定向URI,可選
- scope:表示許可權範圍,可選
- state:表示客戶端當前狀態,可指定任意值,認證伺服器會原封不動返回這個值
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
- C步驟中,認證伺服器迴應客戶端的URI,包含以下引數:
- access_token:表示訪問令牌,必選
- token_type:表示令牌型別,該值大小寫不敏感,必選
- expires_in:表示過期時間,單位為秒
- scope:表示許可權範圍,如果與客戶端申請的範圍一致,可忽略
- state:如果客戶端請求中包含這個引數,認證伺服器也要返回一模一樣的引數
HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600
- A步驟中,客戶端發出HTTP請求,包含以下引數:
- 上面例子中,認證伺服器用HTTP頭資訊的Location欄,指定瀏覽器重定向的網址,注意,這個網址的Hash部分包含了令牌
- 根據D步驟,下一步瀏覽器會訪問Location指定的網址,但是Hash部分不會被髮送,接下來的E步驟,服務提供商的資源伺服器傳送過來的程式碼,提取出Hash令牌
密碼模式
-
密碼模式中,使用者向客戶端提供自己的使用者名稱和密碼,客戶端使用這些資訊向“服務提供商”索要授權
-
在這種模式中,使用者必須把密碼給客戶端,但客戶端不得儲存密碼,這通常在使用者對客戶端高階信任的情況下,比如客戶端是作業系統的一部分,由一個著名的公司出品,而認證伺服器只有在其它授權模式無法執行的情況下,才考慮該模式
- 它的步驟如下:
- (A)使用者向客戶端提供使用者名稱和密碼
- (B)客戶端將使用者名稱密碼傳送認證給伺服器,向後者請求令牌
- (C)認證伺服器確認無誤後,向客戶端提供訪問令牌
- 上述步驟中所需要的引數:
- B步驟中,客戶端發出HTTP請求,包含以下引數:
- grant_type:授權型別,必選,此處固定值“password”
- username:表示使用者名稱,必選
- password:表示使用者密碼,必選
- scope:許可權範圍,可選
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=A3ddj3w
- C步驟中,認證伺服器向客戶端傳送訪問令牌,下面是一個例子:
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
- B步驟中,客戶端發出HTTP請求,包含以下引數:
客戶端模式
- 客戶端模式指客戶端以自己名義,而不是使用者名稱義,向“服務提供商”進行認證,嚴格地說,客戶端模式不屬於OAuth框架要解決的問題,在這種模式中,使用者直接向客戶端註冊,客戶端以自己名義要求“服務提供商”提供服務
-
它的步驟如下:
-(A):客戶端向認證伺服器進行身份認證,並要求一個訪問令牌
-(B):認證伺服器確認無誤後,向客戶端提供訪問令牌 -
上述步驟中所需要的引數:
-
A步驟中,客戶端發出HTTP請求,包含以下引數:
- granttype:表示授權型別,此處固定值為“clientcredentials”,必選
- scope:表示許可權範圍,可選
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=client_credentials
-
B步驟中,認證伺服器向客戶端傳送訪問令牌,下面是一個例子
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" }
-
更新令牌
- 如果使用者訪問的時候,客戶端“訪問令牌”已經過期,則需要使用“更新令牌”申請一個新的令牌
- 客戶端發出更新令牌請求,包含以下引數:
- granttype:表示授權模式,此處固定值為“refreshtoken”,必選
- refresh_token:表示早前收到的更新令牌,必選
- scope:表示申請許可權範圍,不得超出上一次申請的範圍,若省略該引數,則表示與上一次一樣
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA