oauth

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> OAuth 2.0 允许第三方应用程序访问受限的HTTP资源的授权协议，像平常大家使用 Github 、 Google 账号来登陆其他系统时使用的就是 OAuth 2.0 授权框架，下图就是使用 Github 账号登陆 Coding 系统的授权页面图： 类似使用 OAuth 2.0 授权的还有很多，本文将介绍 OAuth 2.0 相关的概念如：角色、授权类型等知识，以下是我整理一张 OAuth 2.0 授权的脑头，希望对大家了解 OAuth 2.0 授权协议有帮助。 文章将以脑图中的内容展开 OAuth 2.0 协议同时除了 OAuth 2.0 外，还会配合 Spring Security OAuth2 来搭建 OAuth2客户端 ，这也是学习 OAuth 2.0 的目的，直接应用到实际项目中，加深对 OAuth 2.0 和 Spring Security 的理解。 OAuth 2.0 角色 OAuth 2.0 中有四种类型的角色分别为： 资源Owner 、 授权服务 、 客户端 、 资源服务 ，这四个角色负责不同的工作，为了方便理解先给出一张大概的流程图，细节部分后面再分别展开： OAuth 2.0 大概授权流程 资源 Owner 资源 Owner可以理解为一个用户，如之前提到使用 Github 登陆

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 从单体架构向微服务架构转型的过程中，认证方式也发生了改变。 而转变最大的方面便是有状态向无状态的转变。 在单体架构时代，我们一般使用的是会话管理(Session)，架构图如下所示 即多实例采用一个同一个Session Store(一般采用Redis来存储)来进行Session的管理，即共享Session,在 第二代网关GateWay搭建流程 的 SaveSession 小节中有介绍共享Session的配置。对以上这种设置，我们称之为 有状态 。 而与之相对的就是 无状态 ，指的是服务器端不去记录用户的登录状态，不再去维护用户的Session。在微服务时代，如果依然采用共享Session的策略，则把各个独立的微服务又捆绑在了Session Store中，如果Session Store挂了，则所有的微服务都无法运行，等于把鸡蛋放到了一个篮子中。而更主要的是如果Session Store需要做迁移，则所有的微服务地址都要调整，牵一发而动全身。再就是如果Session Store达到了瓶颈(容量瓶颈，性能瓶颈)，都得对其进行扩容。 微服务的无状态架构图如下所示 服务器端不会存储用户的登录状态，而是在用户登录的时候颁发一个token,之后用户的请求都需要带上token(可能放在head中，可能放在url参数中)