oauth

1. 前言 在使用 OAuth2.0 中 Authorization Server （授权服务器）是一个回避不了的设施，在大多数情况下我们调用的是一些知名的、可靠的、可信任的第三方平台，比如 QQ、微信、微博、github 等。我们的应用只作为 Client 进行注册接入即可。也就是说我们只需要实现 OAuth2.0 客户端的逻辑就可以了，无须关心授权服务器的实现。然而有时候我们依然希望构建自己的 Authorization Server 。我们应该如何实现？今天不会讨论具体的技术细节，来谈谈 OAuth2.0 的技术选型。 2. Spring Security OAuth2 现状 在做 Spring Security 相关教程 的时候首先会考虑 Spring 提供的 OAuth2.0 功能。当我去 Spring 官网了解相关的类库时发现居然 Spring 的 OAuth2.0 类库即将过期的通知，有图有真相： 总结以下就是 Spring Security OAuth 的模块即将过期，后续的功能已经迁移到 Spring Security 5.2.x 中，但是不会再提供 Authorization Server 的功能。 在官方声明中还提到， 当前 Spring Security OAuth 分支是 2.3.x 和 2.4.x 。 2.3.x 版本将于 2020 年 3 月寿命终止

最近一直在学习springboot，刚刚看完雷丰阳老师讲的springboot基础、整合视频，相见恨晚的赶脚，顺理成章的看了尚硅谷的springboot谷粒商城项目视频，但是，有种说不出的感觉，看了16节，还是放弃了，在bilibili上又搜索了一番，找到了现在学习的这个视频，码匠社区项目，看了几节，感觉还可以，项目中用到了GitHub第三方登录，第一次接触，感觉挺好用的，自然要写篇博客记录一下啦。 一、基本概念 OkHTTP：HTTP是现代应用程序网络的方式，也就是我们交换数据和媒体的方式，有效地执行HTTP可使您的内容加载更快更节省带宽。 1、OkHTTP是默认情况下有效的HTTP客户端： （1）HTTP/2支持允许对同一主机的所有请求共享一个套接字。 （2）连接池可减少请求延迟 （3）透明的GZIP缩小了下载大小 （4）响应缓存可以完全避免网络重复请求 2、GitHub OAuth APP：OAuth是一种授权机制，数据的所有者告诉系统，同一授权第三方应用进入系统，获取这些数据。系统从而产生一个短期的进入令牌token，用来代替密码，供第三方使用。 二、API https://developer.github.com/apps/building-oauth-apps/authorizing-oauth-apps/ 三、OkHTTP实现GitHub第三方登录 四、Maven

认证授权 OAuth 2.0 Authorization Server 新建项目 Artifact: auth-server Dependencies: <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-resource-server</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>

几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password，简言之，Basic Auth是配合RESTful API 使用的最简单的认证方式，只需提供用户名密码即可，但由于有把用户名密码暴露给第三方客户端的风险，在生产环境下被使用的越来越少。因此，在开发对外开放的RESTful API时，尽量避免采用HTTP Basic Auth OAuth OAuth（开放授权）是一个开放的授权标准，允许用户让第三方应用访问该用户在某一web服务上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息，而非所有内容 下面是OAuth2.0的流程： 这种基于OAuth的认证机制适用于个人消费者类的互联网产品，如社交类APP等应用，但是不太适合拥有自有认证权限管理的企业应用； Cookie Auth

Login-OAuth2, so easy. 查看更多 特别感谢 JustAuth ：这里特别感谢JustAuth开源项目作者提供架构思路(特别是Readme大部分来自于JustAuth，本人比较懒) .Net平台下 CollectiveOAuth ，它仅仅是一个 第三方授权登录 的 工具类库 ，它可以让我们脱离繁琐的第三方登录SDK，让登录变得 So easy! 项目开源地址： Gitee(https://gitee.com/rthinking/CollectiveOAuth) 项目文档： 参考文档(https://codoc.rthinkingsoft.cn) 特点 废话不多说，就俩字： 全 ：已集成十多家第三方平台（国内外常用的基本都已包含），仍然还在持续扩展中（[开发计划(制作中)]！ 简 ：API就是奔着最简单去设计的（见后面 快速开始 ），尽量让您用起来没有障碍感！ 快速开始 引入依赖 配置授权信息(默认配置在webconfig中, 可以改造存储数据库或者其它任意地方) 1 <!--Demo: 微信服务号授权配置--> 2 <add key= " CollectiveOAuth_WECHAT_MP_ClientId " value= " wxer6785660834656 " /> 3 <add key= " CollectiveOAuth_WECHAT_MP

/** * 根据 token 获取 user * @param token token * @return 结果 */ private User getByToken (String token){ OAuth2Authentication auth2Authentication = defaultTokenServices .loadAuthentication(token) ; org.springframework.security.core.userdetails.User u = (org.springframework.security.core.userdetails.User) auth2Authentication.getUserAuthentication().getPrincipal() ; return iUserService .getUserByLoginName(u.getUsername()) ; } 来源： oschina 链接： https://my.oschina.net/alyouge/blog/3167263

OAuth 2.0 允许第三方应用程序访问受限的HTTP资源的授权协议，像平常大家使用 Github 、 Google 账号来登陆其他系统时使用的就是 OAuth 2.0 授权框架，下图就是使用 Github 账号登陆 Coding 系统的授权页面图： 类似使用 OAuth 2.0 授权的还有很多，本文将介绍 OAuth 2.0 相关的概念如：角色、授权类型等知识，以下是我整理一张 OAuth 2.0 授权的脑头，希望对大家了解 OAuth 2.0 授权协议有帮助。 文章将以脑图中的内容展开 OAuth 2.0 协议同时除了 OAuth 2.0 外，还会配合 Spring Security OAuth2 来搭建 OAuth2客户端 ，这也是学习 OAuth 2.0 的目的，直接应用到实际项目中，加深对 OAuth 2.0 和 Spring Security 的理解。 OAuth 2.0 角色 OAuth 2.0 中有四种类型的角色分别为： 资源Owner 、 授权服务 、 客户端 、 资源服务 ，这四个角色负责不同的工作，为了方便理解先给出一张大概的流程图，细节部分后面再分别展开： OAuth 2.0 大概授权流程 资源 Owner 资源 Owner可以理解为一个用户，如之前提到使用 Github 登陆 Coding 中的例子中，用户使用GitHub账号登陆Coding

什么是 OAuth 2.0 OAuth 2.0 是一个行业的标准授权协议。OAuth 2.0 专注于简化客户端开发人员，同时为 Web 应用程序，桌面应用程序，手机和客厅设备提供特定的授权流程。 它的最终目的是为第三方应用颁发一个有时效性的令牌 token。使得第三方应用能够通过该令牌获取相关的资源。常见的场景就是：第三方登录。当你想要登录某个论坛，但没有账号，而这个论坛接入了如 QQ、Facebook 等登录功能，在你使用 QQ 登录的过程中就使用的 OAuth 2.0 协议。 如果你想了解更多，其官方网址为： https://oauth.net/2/ 。下面我们来了解下 OAuth 协议的基本原理 角色 首先需要介绍的是 OAuth 2.0 协议中的一些角色，整个授权协议的流程都将围绕着这些角色： resource owner ，资源所有者，能够允许访问受保护资源的实体。如果是个人，被称为 end-user。 resource server ，资源服务器，托管受保护资源的服务器。 client ，客户端，使用资源所有者的授权代表资源所有者发起对受保护资源的请求的应用程序。如：web网站，移动应用等。 authorization server ，授权服务器，能够向客户端颁发令牌。 user-agent ，用户代理，帮助资源所有者与客户端沟通的工具，一般为 web 浏览器，移动