1.OAuth协议要解决的问题
2.OAuth协议中的各种角色
①服务提供商provider:在我们的举例中是指微信,提供令牌token
②资源所有者resource owner:在我们的举例中是指用户,自拍图片的所有者是用户,用户把自拍数据放在微信保管
③第三方应用client:在我们的举例中是指慕课微信助手,他的目的是访问微信上用户的自拍数据,把微信的用户变成自己的
在服务提供商内部有两个角色:
1).认证服务器Authorization Server:认证用户的身份并且产生令牌token
2).资源服务器resource Server:保存用户资源,验证令牌。发请求发到这里验证token,这两个服务器可以是一台服务器一个应用。
3.OAuth协议的运行流程
介绍授权码模式:
特点:用户同意授权的动作实在认证服务器上完成的,其他模式都是在第三方应用完成的。
同意授权后返回的是授权码,第三方应用需要再发送一个携带授权码的请求再申请令牌token
spring social基本原理就是授权协议,授权码模式访问用户基本信息,用这个基本信息构建第三方应用的Authentication并放入SecurityContent中,也就是使用第三方信息进行登录。
①service provider接口:服务提供商,针对每一个服务提供商,例如qq、微信、微博都需要提供一个这个接口的实现,spring social提供了一个叫做AbstractOAuth2ServiceProvider的抽象类,帮我们实现了一些共有的东西,我们假如写qq登录就继承这个抽象类就可以了。
上面图片中1到5步骤都是标准流程,第六步因为每个服务提供商的头像、昵称字段都是不一样的,所以是一个个性化流程。
②OAuth2Operations封装了1-5步骤标准流程,是OAuth2协议的操作。spring social提供了一个实现类是OAuth2Template帮助我们完成OAuth2协议的执行流程
③api接口:针对第六步获取用户信息需要自己实现一个接口实现第六步的行为,spring social帮我们实现了一个叫做AbstractOAuth2ApiBinding的抽象类完成第六步的实现。
④第七部就和服务提供商没关系了,Connection接口:作用是封装前六步获取到的用户信息,用到的实现类是OAuth2Connection.
⑤Connection是由一个叫做ConnectionFactory的连接工厂创建出来的,用到的类叫做OAuth2ConnectionFactory这个工厂负责创建包含用户信息的对象,所以整个右边服务提供商的东西是封装起来放到OAuth2ConnectionFactory里面的。
在我们的代码中去调用OAuth2ConnectionFactory用它里面的service provider来走6步信息获取用户信息,把用户信息封装成一个Connection,Connection是一个固定的数据结构,如何把各个服务提供商不同的数据结构转成标准的数据结构,用下面的ApiAdapter这样一个接口的实现完成的,自己的业务系统的用户和服务提供商的用户怎么对应起来的?是一个数据库表叫做db_user_connection来完成对应的。
⑥UsersConnectionRepository来操作上面这张业务系统用户和服务商用户对应的表db_user_connection,实现类是JdbcUsersConnectionRepository针对这张表增删改查。
实现过程:需要先写一个qq接口获取qq用户信息,在qq接口的实现类qqImpl中继承AbstractOAuth2ApiBinding,AbstractOAuth2ApiBinding里面有两个属性,
accessToken:是1-5步获取的令牌
restTemplate:是获取到令牌后,携带令牌申请用户信息的url请求。
查看qq互联文档:api列表get_user_info
https://wiki.connect.qq.com/openapi%E8%B0%83%E7%94%A8%E8%AF%B4%E6%98%8E_oauth2-0
第一个参数:access_token,是1-5步得到的令牌,存储在父类AbstractOAuth2ApiBinding中的accessToken
第二个参数:oauth_consumer_key,申请QQ登录成功后,分配给应用的appid
第三个参数:openid: 用户的ID,与QQ号码一一对应。
可通过调用https://graph.qq.com/oauth2.0/me?access_token=YOUR_ACCESS_TOKEN 来获取。
这样api,也就是AbstractOAuth2ApiBinding部分就写好了,OAuth2Operations用默认的实现类OAuth2Template
/**
* 获取qq用户信息接口的实现类,需要继承自AbstractOAuth2ApiBinding
*/
public class QQImpl extends AbstractOAuth2ApiBinding implements QQ {
/**
* 获取用户信息的url其中文档里的accessToken交给父类处理,这里直接去掉
*/
private static final String URL_GET_USERINFO = "https://graph.qq.com/user/get_user_info?oauth_consumer_key=%s&openid=%s";
/**
* 获取openid的url
*/
private static final String URL_GET_OPENID = "https://graph.qq.com/oauth2.0/me?access_token=%s";
/**
* 第一个参数accessToken在父类中
* 第二个参数:appid 申请QQ登录成功后,分配给应用的appid
*/
private String appid;
/**
* 第三个参数:openid
* 用户的ID,与QQ号码一一对应。
* 可通过调用https://graph.qq.com/oauth2.0/me?access_token=YOUR_ACCESS_TOKEN 来获取
*/
private String openid;
/**
* 把返回结果转成规定对象的工具类
*/
private ObjectMapper objectMapper = new ObjectMapper();
/**
* 构造函数
* @param accessToken
* @param appid
*/
public QQImpl(String accessToken, String appid){
/**
* 调用父类这个构造方法使用的这个策略是把accessToken作为请求参数,而不是放进请求头header中
*/
super(accessToken, TokenStrategy.ACCESS_TOKEN_PARAMETER);
this.appid = appid;
String url = String.format(URL_GET_OPENID, accessToken);
String result = getRestTemplate().getForObject(url, String.class);
//TODO 这个写法只是为了快速取出openid之后还要经过重构的。
this.openid = StringUtils.substringBetween(result, "\"openid\"", "}");
}
/**
* 获取用户信息
* @return
* @throws IOException
*/
@Override
public QQUserInfo getQQUserInfo() throws IOException {
String url = String.format(URL_GET_USERINFO, appid, openid);
String result = getRestTemplate().getForObject(url, String.class);
return objectMapper.readValue(result, QQUserInfo.class);
}
}
这样api,也就是AbstractOAuth2ApiBinding部分就写好了,OAuth2Operations用默认的实现类OAuth2Template,
接下来就可以声明ServiceProvider这个接口的实现了。
/**
* 这个抽象接口有一个泛型,泛型是我们的api的接口类型QQ
*/
public class QQServiceProvider extends AbstractOAuth2ServiceProvider<QQ> {
private String appId;
private static final String URL_AUTHORIZE = "https://graph.qq.com/oauth2.0/authorize";
private static final String URL_ACCESS_TOKEN = "https://graph.qq.com/oauth2.0/token";
/**
* Create a new {@link OAuth2ServiceProvider}.使用spring social提供的OAuth2Template()
* 需要四个参数:
* @clientId 就是注册应用时候qq给的appid
* @clientSecret 就是注册应用时候qq给的appSecret
* @authorizeUrl 就是授权码步骤一,将用户导向认证服务器的地址
* @accessTokenUrl 就是授权码步骤四,申请令牌的地址
* 具体这两个地址是什么看https://wiki.connect.qq.com
*
*/
public QQServiceProvider(String appId, String appSecret) {
super(new OAuth2Template(appId, appSecret, URL_AUTHORIZE, URL_ACCESS_TOKEN));
}
@Override
public QQ getApi(String accessToken) {
return new QQImpl(accessToken, appId);
}
}
处理流程:
SocialAuthenticationService执行整个OAuth2的流程,在执行的过程中调用ConnectionFactory,拿到其中的seviceProvider服务提供商的用户信息,封装到Connection里,然后Connection会被封装成一个SocialAuthenticationToken,交给AuthenticationManager,挑选一个符合的这里是SocialAuthenticationProvider处理,
会根据传进来的服务提供商的用户信息使用JdbcUsersConnectionRepository去数据库
查询USerid,用这个用户id去调用SocialUserDetailsService,查出用户信息SocialUserDetails放到SocialAuthenticationToken中,标记为已认证,放到securityContext里,最终放进session里。
