1、OAuth2.0 简介

OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流，包括Web应用、桌面应用、移动端应用等。

1.1 OAuth2.0 相关名词解释

• Resource owner（资源拥有者）：拥有该资源的最终用户，他有访问资源的账号密码；
• Resource server（资源服务器）：拥有受保护资源的服务器，如果请求包含正确的访问令牌，可以访问资源；
• Client（客户端）：访问资源的客户端，会使用访问令牌去获取资源服务器的资源，可以是浏览器、移动设备或者服务器；
• Authorization server（认证服务器）：用于认证用户的服务器，如果客户端认证通过，发放访问资源服务器的令牌。

1.2 四种授权模式

• Authorization Code（授权码模式）：正宗的OAuth2的授权模式，客户端先将用户导向认证服务器，登录后获取授权码，然后进行授权，最后根据授权码获取访问令牌；
• Implicit（简化模式）：和授权码模式相比，取消了获取授权码的过程，直接获取访问令牌；
• Resource Owner Password Credentials（密码模式）：客户端直接向用户获取用户名和密码，之后向认证服务器获取访问令牌；
• Client Credentials（客户端模式）：客户端直接通过客户端认证（比如client_id和client_secret）从认证服务器获取访问令牌。

1.3 、OAuth2框架

Spring Security提供了OAuth 2.0 完整支持，主要包括：

• OAuth 2.0核心 - spring-security-oauth2-core.jar：包含为OAuth 2.0授权框架和OpenID Connect Core 1.0提供支持的核心类和接口；
• OAuth 2.0客户端 - spring-security-oauth2-client.jar：Spring Security对OAuth 2.0授权框架和OpenID Connect Core 1.0的客户端支持；
• OAuth 2.0 JOSE - spring-security-oauth2-jose.jar：包含Spring Security对JOSE（Javascript对象签名和加密）框架的支持。框架旨在提供安全地传输双方之间的权利要求的方法。它由一系列规范构建：
  JSON Web令牌（JWT）
  JSON Web签名（JWS）
  JSON Web加密（JWE）
  JSON Web密钥（JWK）

要使用OAuth2，需要引入spring-security-oauth2模块，通过之前源码分析，Spring 通过OAuth2ImportSelector类对Oauth2.0进行支持，当引入oauth2模块，Spring会自动启用 OAuth2 客户端配置 OAuth2ClientConfiguration。

1.4 OAuth 2.0客户端提供功能

OAuth 2.0客户端功能为OAuth 2.0授权框架中定义的客户端角色提供支持。
可以使用以下主要功能：

• 授权代码授予
• 客户凭证授权
• Servlet环境的WebClient扩展（用于发出受保护的资源请求）

HttpSecurity.oauth2Client()提供了许多用于自定义OAuth 2.0 Client的配置选项。

作者：蜀山_竹君子
链接：https://www.jianshu.com/p/d860d18504a4
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。