Web、OAuth2/SSO相关拾遗
OAuth2认证相关:(SSO资源访问流程也应类似设计,它与OAuth2第三方认证、授权不同,是同一个应用系统间的认证、授权过程,且需要实现一个点授权,可访问所有点,一个点退出,收回所有点授权,且有时需要集成统一API网关。但认证、授权流程与OAuth2相似,OAuth2的第三方用户授权动作对应SSO的认证服务器用户名/密码登录动作)
https://shimo.im/docs/z7ggA56biOAfAdht/
https://www.jianshu.com/p/d74ce6ca0c33
注意多使用一步auth_code(认证码)获取accessToken,再使用accessToken获取资源的原因:
拿到了accessToken也就意味着拿到了授权,明码accessToken暴露出来可被任何人利用,这样使用资源不安全!
而暴露auth_code,可在服务器后台程序验证它及应用提前申请的clientId,在后台程序中返回accessToken,并用accessToken访问资源。
而auth_code只能使用一次,这样多一步后台的验证处理,后台返回accessToken(不向用户暴露accessToken),和一次性的auth_code,
大大增加了安全性。
auth_code是和client相对应的,那么即使拿到了auth_code还需要再次申请accessToken,申请accessToken时需要校验Client和state。
协议设计的原则就是只有Client(后台应用程序)能拿到accessToken而用户是拿不到的。
附:
QQ登录OAuth2.0总体处理流程如下:
Step1
Step2
Step3
Step4
Step5
Step6
HttpClient:
https://www.cnblogs.com/guxiong/p/6661272.html
https://www.cnblogs.com/LuckyBao/p/6096145.html
Spring、SpringBoot配置过滤器:
https://blog.csdn.net/weixin_37891479/article/details/79527641
https://www.cnblogs.com/begin2016/p/8947887.html
Spring拦截器:
https://segmentfault.com/a/1190000012072060
过滤器:
https://blog.csdn.net/MissEel/article/details/79351231
URL参数编码:
https://blog.csdn.net/u010648555/article/details/50011987
Spring重定向传参:
https://blog.csdn.net/qq_33366229/article/details/79106571