关于OAuth和 SpringSocial第三方登陆流程

 

关于OAuth和 SpringSocial第三方登陆流程

　　关于第三方登陆基本上都使用了OAuth协议

 

 

 

　　SocialAuthentication  身份认证

　　Connection Facory  连接工厂

　　Provider  供应商

　　Repository  存储库

 

1.OAuth协议简介

　　

 　　

　　运行原理

　　

 

 

 

　　简化一下

　　

 

　　深度一下

　　

 

 

　　其他基本都是这一套的流程

　　

 

 

 

通过令牌解决密码泄露问题是OAuth的使命

　　　　

 

 

 

　　

 

 

 　　

 

 

 

OAuth角色流程

　　1，服务提供商(Provider)，提供令牌的应用。

　　　　1认证服务器(Authorization Server) 发出去token

　　　　2资源服务器(Resource Server) 验证token发资源

　　2，资源所有者(Resource Owner)，就是用户

　　3，第三方应用(Client)，想获取用户信息的应用。

 

　　

 

 

 

　　这是常用的四种授权模式中的授权码模式，特点是是用户在认证服务器上认证的，保证认证的正确性。如果是第三方应用向认证服务器发送认证请求，可能是伪造的，但是用户直接去认证可以避免。还有就是这个认证服务器会先发一个授权码给第三方应用服务器，然后第三方服务器会带着这个授权码去请求令牌，这样就要求第三方应用要有一个服务器，同样也是提高安全性，因为这样就会让第三方将令牌放到服务端，用户客户端不可见，还有一种简化模式是不需要这个授权码的，当然这样相对就会不安全。

 

 

 

2.SpringSocial

　　

 

 

 

　　当springsocial通过令牌拿取用户信息并且构建Authentication放入SecurityContext的时候，就表示用户登陆了，而上面这幅图里面的流程是别SpringSecurity封装到一个SocialAuthenticationFilter的过滤器里面了

 　　

 

 

　　springsocialoauth开发token验证方式，适用pc前后端分离和移动app的用户验证。