spring-security 理解 笔记 介绍以及使用(持续更新)

本人经过2周的学习,成功搭建了认证服务器,资源服务器和客户端 。下面是本人对 oauth2的理解,以及spring-security的使用,如果理解错误的地方,还望指正。

现在代码有点凌乱,过段时间会放到github上面的,本人会在代码中添加详细注释,供学习交流使用

源码地址:

https://gitee.com/qq75547276/spring-security-oauth2

理解

1.认证服务器

  如抖音可以选择QQ或者微信登录,此时QQ或者微信就是认证服务器

  1.认证::用户认证和客户端认证,只要用户或者客户端在认证服务器中注册即可

  2.授权:通过认证之后赋予权限,

  服务器认证成功后,会返回token, token中携带用户信息,用户拥有的角色信息,客户端信息

   对于QQ,微信登录会返回一个openId,这个暂时不讲, 自己搭建的认证服务器暂时没有openId,后期有时间再去研究

2.资源服务器

  提供服务的服务器,如获取用户信息,用户头像等,需要携带token请求获取想要的信息(资源服务器会解析token,判断是否有权限)

  

3.客户端

  如抖音,知否,需要通过认证服务器(QQ,微信)认证的应用服务器。

  客户端通过认证拿到token,就可以访问资源服务器了

 

那么第三方客户端是如何完成授权的呢?

 解读4中授权模式 :

  1.授权码模式:推荐使用的授权模式,流程如下,下面给予解析

    

    解析:

    *****  client_id为客户端Id,必须注册到认证服务器, redirect_uri 这个地址后面获取到code要跳转的地方,也就是这个地址能拿到认证服务器返回的code  ****

 

    1.比如我现在要选择登陆csdn,打开登录页面,我们可以选择qq,微博,百度等 登录方式,

    2.我们选择第三方登陆,这时候浏览器会重定向http://localhost:8080/oauth/authorize?response_type=code&client_id=myclient_id&redirect_uri=http://baidu.com,不经过客户端;response_type=code为特定参数

    3.我们要携带这些参数response_type,client_id,redirect_uri 去认证,就会跳转到登录页面。client_id,redirect_uri  是你注册到认证服务器的信息

      4.我们填写登录信息并登录,然后跳转到让用户授权(授可以默认同意授权,也可以让用户自己在页面上确定)  

      5.认证并授权通过,重定向到redirect_uri 并带上code参数,如https://www.baidu.com/?code=o5NsTH,有人会问为什么不直接返回token? 这重定向要经过浏览器的,直接返回token是不安全的

      6.redirect_uri 为客户端中的一个rest接口,这样客户端就拿到token,并使用token和client_id,client_secret等换取token,grant_type=authorization为特定参数

    http://localhost:8080/oauth/token? grant_type=authorization_code &code=o4YrCS&client_id=pair &client_secret=secret&redirect_uri=http://baidu.com

    这个请求是在客户端中远程调用的,验证通过返回token

    7,拿到token后就可以访问资源服务器了,知道要访问的接口并把token带过去,这一步也是通过客户端远程调用的,http://localhost:8080/rest/api/getuserInfo?access_token=a4ae5a76-289d-2356-a421-9652sa857678

    下面是一个客户端通过第三方登录的简图    

     

 

 

 

  2.密码模式

  3.客户端模式

  4.简化模式

  一个完整授权服务器 和资源服务器 简图

 

posted @ 2019-03-17 22:56  BigNew  阅读(496)  评论(0编辑  收藏  举报