介绍

这是OAuth2用户指南，OAuth1与其有很大差异请查看OAuth1资料。

本指南分为两个部分，第一部分讲OAuth2 provider，第二部分讲OAuth2 client。无论是provider还是client最好的示例代码请参考integration tests和sample apps。

OAuth 2.0 Provider

OAuth2 provider机制负责暴露被保护的资源。其配置需保证clients可以独立或代表用户访问受保护资源。OAuth provider通过管理和验证OAuth2 token访问被保护资源。必要时，provider须提供界面给用户确认授权给client访问受保护资源（比如：确认授权页面）。

OAuth 2.0 Provider 实现

provider的角色在OAuth2中被分为授权服务（Authorization Service）和资源服务（Resource Service），两者有时被放在同一个应用，使用spring security oauth可以将二者分开放在两个不同的应用，而且可以同时拥有多个资源服务（Resource Service）共享同一个授权服务（Authorization Service）。Spring MVC Controller的端点处理token请求，标准的Spring Security 过滤器处理访问受保护资源请求。下面的端点在Spring Security过滤器链中请求以实现OAuth2 Provider：

授权端点（AuthorizationEndpoint）用于授权。默认URL：/oauth/authorize.

Token端点（TokenEndpoint） 用于获取access tokens。默认URL： /oauth/token.

下面的过滤器是实现一个OAuth2资源服务（Resrouce Server）必须要有的：

OAuth2授权处理过滤器（OAuth2AuthenticationProcessingFilter） 用于加载附带验证过的访问token请求的验证信息（Authentication）。

对于OAuth2 Provider所有功能特性，可以通过特定的Spring OAuth2 配置适配器进行配置。也可以通过XML命名空间方式进行配置。

授权服务配置

配置授权服务时，必须考虑客户端（Client）用于从最终用户那里获取Access Token的授予类型（Grant Type）（如：授权码 - authorization code, 用户凭证 - user credentials, 更新token - refresh token）。授权服务配置用于提供客户端用户详情服务和token服务的实现，并用于开启和关闭机制的全局部分。注意，尽管如此，所有客户端依然可以特殊配置许可以使用特定的授权机制和访问准许。例如：仅仅配置了Provider支持"client credentials" 授予类型, 并不意味着特定的客户端也要通过该授予类型授权。

@EnableAuthorizationServer注解和实现了AuthorizationServerConfigurer的@Bean一起用于配置授权服务。

ClientDetailsServiceConfigurer: 定义客户端明细服务，客户端明细可以初始化，也可以引用存在的库。

AuthorizationServerSecurityConfigurer: 定义token端点安全限制。

AuthorizationServerEndpointsConfigurer: 定义授权和token端点以及token 服务。

Provider配置一个重要的方面是一个授权码供给一个客户端，授权码是由客户端通过使终端用户跳转到一个用户可输入其身份验证信息的授权页面，由Provider授权服务携带授权码跳转回客户端的结果。关于这些的实例请参考关于OAuth 2的详细说明。

配置客户端明细

ClientDetailsServiceConfigurer可以用来定义内存或jdbc实现的客户端明细服务。客户端重要的配置属性有：

clientId: (必要) 客户端ID，唯一标识。

secret: (required for trusted clients) 客户端密码。

scope: 客户端限定范围。如果未定义则不限制。

authorizedGrantTypes: 准许客户端使用的授权类型，默认为空。

authorities: 授予客户端的授权（通常就是Spring Security的授权）。

客户端明细可以通过访问底层存储或者通过ClientDetailsManager接口在运行应用中进行变更。

管理Tokens

AuthorizationServerTokenServices接口定义了管理Tokens的所有必要操作，注意一下几点：

当一个access token被创建，其验证信息必须被保存以供访问资源时引用。

access token用于在加载曾授权创建它的验证信息。