2019-3-1

一、《Spring Security开发安全的REST服务》视频笔记---part3：Spring Security Oauth、Spring Social部分

1、OAuth协议

OAuth协议要解决的问题、OAuth协议中的各种角色、OAuth协议运行流程

其中的第二步“同意授权”有4种授权模式：

 

对于“授权码模式”，Oauth流程如下：

这个模式与另外三种模式的区别和特点是：①用户同意授权这个动作是在认证服务器完成的（其它模式这一动作是在第三方应用完成的），由于用户同意授权这个动作是在认证服务器完成，所以认证服务器可以明确知道用户的确有同意授权②第一次是返回授权码而不是令牌（这就要求第三方应用有自己的服务器，且这样安全性更高）③这种模式是主流（功能最完整，流程最严格）

 

2、SpringSocial基本原理

SpringSocial基本原理（使用SpringSocial开发第三方登录）

SpringSocial封装了上面整个流程。（多了第6步和第7步，即可以完成第三方登录）

SpringSocial加入一个新的filter：

关键类：

 

 

3、开发QQ登录

 

4、开发微信登录

 

5、SpringSecurityOauth

左边是之前的架构，右边是现在的app或者前后端分离的架构：

不再基于cookie，而是token：

SpringSecurityOauth和SpringSocial的关系：前者发令牌

 

 

 

略。

 

6、使用JWT（Json Web Token）替换默认令牌（对应视频6-9）