Spring OAuth2单点登陆流程

背景说明

oauth2登录.png

假设系统data需要通过oauth2server进行单点登陆，则
客户端(client) 系统data，服务端(service) oauth2server
服务端示例：oauth2-shiro

角色

资源拥有者 (Resource Owner)，一个oauth2server的用户
客户端 (Client) ，系统data
授权服务器 (Authorization Server)，oauth2server服务器，提供授权码，token等授权信息
资源服务器 (Resource Server), oauth2server服务器，提供用户信息

客户端配置

spring:
  security:
    oauth2:
      client:
        registration:
          cas:
            provider: cas
            client-id: "test-client"
            client-name: "oauth2server"
            client-secret: "Test@2015$$"
            authorization-grant-type: authorization_code
            client-authentication-method: post
            #获取用户授权后,重定向地址
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
            scope: userinfo
        provider:
          cas:
            #获取用户授权地址
            authorization-uri: http://www.oauth2server.com:8081/oauth/authorize
            #获取token
            token-uri: http://www.oauth2server.com:8081/oauth/token
            #获取用户信息
            user-info-uri: http://www.oauth2server.com:8083/rs/username
            #获取用户信息返回的json中,用户名对应的属性名
            user-name-attribute: id
            #用户信息映射
            userMapping:
              email: "email"
              name: "name"
              avatar: "avatar"

授权方式

1.授权码 (grant_type = 'authorization_code') (最广泛的方式)

OAuth2 授权最广泛的方式，给客户端分配的 ID 和密码都是隐藏在后端代码中。因为授权码是基于重定向的方式，要想使用授权码的方式，客户端必须能够调用系统中的应用（譬如浏览器）、和提供一个接口接收服务端的回调获取授权码。

Authorization Cod.png

1.0 获取服务端授权地址

http://localhost:3000/oauth2/authorization/cas?redirect_url=/

浏览器请求客户端，客户端重定向浏览器至服务端授权地址

1.1 浏览器向服务端发起授权请求

http://www.oauth2server.com:8081/oauth/authorize?response_type=code&client_id=test-client&scope=userinfo&state=ZkgUEnuHPKRWh1I8FTqk-2rv-fUAAuwa26Ksbb4qHEM%3D&redirect_uri=http://localhost:8080/login/oauth2/code/cas

1.2 服务端的用户进行授权

授权界面.png

1.3 服务端授权后，带授权码重定向浏览器到客户端

http://localhost:8080/login/oauth2/code/cas?code=5c8e698ba9fc1bba3155892da01ed43a&state=wSenN4SXPe-xMV78psfEACE-SIbaJTASovFAdbHtUL4%3D

1.4 客户端后台获取服务端的token

http://www.oauth2server.com:8081/oauth/token?grant_type=authorization_code&code=5c8e698ba9fc1bba3155892da01ed43a&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Flogin%2Foauth2%2Fcode%2Fcas&client_id=test-client&client_secret=Test%402015%24%24

curl --location --request POST 'http://www.oauth2server.com:8081/oauth/token?grant_type=authorization_code&code=5c8e698ba9fc1bba3155892da01ed43a&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Flogin%2Foauth2%2Fcode%2Fcas&client_id=test-client&client_secret=Test%402015%24%24' \
--header 'Content-Type: application/x-www-form-urlencoded'

{
    "access_token": "eyJraWQiOiJvYXV0aDItc2hpcm8ta2V5aWQiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwianRpIjoiMTdkYjQ3NzI2OTZhMGExNDc2MTU2OTYzNGM1NTdmYzAiLCJpYXQiOjE3MTI3OTk3MjksImV4cCI6MTcxMjg0MjkyOSwiYXVkIjoidGVzdC1jbGllbnQifQ.YQPqnh0XzwpBLZ9enclJk7EPtmAQfg-tuHLtJ_qHZ6g",
    "refresh_token": "638e4664a0fd0e7d8a77712f98af3ecc",
    "token_type": "Bearer",
    "expires_in": 43199
}

1.5 客户端后台获取用户信息

http://www.oauth2server.com:8083/rs/username

curl --location 'http://www.oauth2server.com:8083/rs/username' \
--header 'Authorization: Bearer eyJraWQiOiJvYXV0aDItc2hpcm8ta2V5aWQiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwianRpIjoiMmQwNDAzYmZjZWE5MmVmMTA4NDMzOTMzYzcwZDMyZDQiLCJpYXQiOjE3MTI3NDA2NDgsImV4cCI6MTcxMjc4Mzg0OCwiYXVkIjoidGVzdC1jbGllbnQifQ.PCCfctMld35dTkiJ2fSxuySdhRYIWmUURpZobW_u0S4'

{
    "email": "111@qq.com",
    "avatar": "头像",
    "name": "test",
    "id": "test"
}

客户端根据用户信息进行注册登录

2. 隐式（grant_type = 'implicit'）

客户端运行在浏览器中,如JS,Flash(不通过client服务器)，用户请求授权，同意授权后服务端把 access_token 拼接到回调链接上。

隐式.png

步骤跟authorization code类似，只不过少了授权码：

#请求
http://www.oauth2server.com:8081/accessToken?response_type=token&client_id=demoApp&redirect_uri=CALLBACK_URL
#回调成功
CALLBACK_URL?access_token=41f78007-e2ec-4978-9beb-a830b638d4d8&token_type=bearer&expires_in=1199&scope=all

3. 密码凭证（grant_type = 'password' ）

用户直接给客户端提供在提供服务端账号密码，获取服务端的 access_token。

http://www.oauth2server.com:8081/accessToken?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID

4. 客户端凭证（grant_type = 'client_credentials'）

http://www.oauth2server.com:8081/accessToken?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET

5. refresh_token（grant_type = 'refresh_token'）

如果服务提供平台支持 refresh_token ，那么第三方应用的 access_token 失效之后，可通过 refresh_token 再次获取有效的 access_token

http://www.oauth2server.com:8081/accessToken?grant_type=refresh_token&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&refresh_token=REFRESH_TOKEN

最后编辑于：2024.04.11 10:33:47

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 194,088评论 5赞 459
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 81,715评论 2赞 371
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 141,361评论 0赞 319
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 52,099评论 1赞 263
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 60,987评论 4赞 355
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 46,063评论 1赞 272
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 36,486评论 3赞 381
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 35,175评论 0赞 253
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 39,440评论 1赞 290
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 34,518评论 2赞 309
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 36,305评论 1赞 326
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 32,190评论 3赞 312
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 37,550评论 3赞 298
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 28,880评论 0赞 17
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 30,152评论 1赞 250
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 41,451评论 2赞 341
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 40,637评论 2赞 335