OAuth2.0系列二：OAuth2.0授权码模式

逃离我推掉我的手 2024-04-18 10:49 69阅读 0赞

## OAuth2.0授权模式 ##

OAuth2.0支持如下四种授权模式，其中安全级别最高的是授权码模式。我们先了解一下在代码中如何简单的实现四种授权模式，下一篇在介绍关于四种授权模式的选型。

*  授权码
 *  密码式
 *  隐藏式
 *  客户端凭证

注意：不管通过哪种授权模式获取授权，第三方应用在获取授权之前，都必须在系统备案，拿到客户端ID（Client ID）和客户端密钥（Client Secret）后再通过OAuth2.0获取令牌，这是避免令牌被滥用，只有备案的第三方应用才可以获取令牌。

--------------------

jdk:1.8  开发工具:Intellij IDEA 2018.2 springboot版本：1.5.10

--------------------

由于Spring Security对OAuth2.0进行了实现，所以我这里直接使用Spring-Security-OAuth2.0进行演示。

## 授权码模式 ##

这种方式是最常用的也是安全性也最高的方式。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。

**流程**

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70][]

1.  用户通过浏览器向授权服务器申请授权码，附带客户端凭证等信息和跳转链接，并设置response\_type为code
2.  授权服务器校验通过后返回授权码并跳转到跳转链接
3.  客户端拿到授权码后去授权服务器申请Access Token，授权服务器校验通过后返回Access Token

**第一步**，创建父级Maven工程microservice，如何使用IDEA创建Maven项目很简单，这里不说明了，直接贴一下pom文件

<groupId>com.curise.microservice</groupId>
        <artifactId>microservice-parent</artifactId>
        <version>1.0-SNAPSHOT</version>
        <packaging>pom</packaging>
    
        <properties>
            <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
            <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
            <java.version>1.8</java.version>
            <spring.boot.version>1.5.10.RELEASE</spring.boot.version>
            <lombok.version>1.16.20</lombok.version>
        </properties>
        <dependencyManagement>
            <dependencies>
                <dependency>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-parent</artifactId>
                    <version>${spring.boot.version}</version>
                    <type>pom</type>
                    <scope>import</scope>
                </dependency>
    
                <dependency>
                    <groupId>org.projectlombok</groupId>
                    <artifactId>lombok</artifactId>
                    <version>${lombok.version}</version>
                </dependency>
    
            </dependencies>
        </dependencyManagement>
    
        <build>
            <plugins>
                <plugin>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-maven-plugin</artifactId>
                </plugin>
            </plugins>
        </build>

其中引入了spring-boot-starter-parent的pom依赖，其余没有特殊的地方。

**第二步**，创建microservice的Module项目authcode\_server，贴一下pom文件

<parent>
            <artifactId>microservice-parent</artifactId>
            <groupId>com.curise.microservice</groupId>
            <version>1.0-SNAPSHOT</version>
        </parent>
        <modelVersion>4.0.0</modelVersion>
    
        <artifactId>authcode_server</artifactId>
        <description>OAuth2授权码模式</description>
    
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-security</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
            </dependency>
    
            
            <dependency>
                <groupId>org.springframework.security.oauth</groupId>
                <artifactId>spring-security-oauth2</artifactId>
            </dependency>
    
            <dependency>
                <groupId>org.projectlombok</groupId>
                <artifactId>lombok</artifactId>
            </dependency>
    
        </dependencies>

其中引入了spring-boot-starter-security和spring-security-oauth2依赖

**第三步**，创建授权服务器

@Configuration
    @EnableAuthorizationServer
    public class OAuth2AuthorizationServer extends AuthorizationServerConfigurerAdapter {
    
        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory()
                    // 客户端id
                    .withClient("app")
                    // 客户端密钥
                    .secret("123")
                    // 权限
                    .scopes("read","write")
                    // 获取授权码后重定向地址
                    .redirectUris("http://localhost:9000/callback")
                    // 授权码和刷新token
                    .authorizedGrantTypes("authorization_code","refresh_token");
        }
    }

通过@EnableAuthorizationServer注解开启授权管理器，其中客户端信息是放在了内存中，当然生产级别肯定不能这么做，这里只是学习级别的代码。

**第四步**，创建资源管理器

@Configuration
    @EnableResourceServer
    public class OAuth2ResourceServer extends ResourceServerConfigurerAdapter {
        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                    .anyRequest()
                    .authenticated()
                    .and()
                    .requestMatchers()
                    // /api/**请求需要OAuth鉴权
                    .antMatchers("/api/**");
        }
    }

通过@EnableResourceServer注解开启资源管理器，并设置对/api/\*\*的请求url进行拦截需要鉴权，当前生产上一般授权管理器和资源管理器是分开的。

**第五步**，创建配置文件，配置端口号和Spring Security的信息

server.port=8080
    security.user.name=root
    security.user.password=root

**第六步**，添加Controller

@RestController
    public class UserController {
    
        @GetMapping("/api/userInfo")
        public ResponseEntity<UserInfo> getUserInfo(){
            User user = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
            String email = user.getUsername() + "@qq.com";
    
            UserInfo userInfo = new UserInfo();
            userInfo.setUsername(user.getUsername());
            userInfo.setEmail(email);
            return ResponseEntity.ok(userInfo);
        }
    
    }

**第七步**，启动服务，现在按照规定的流程去获取授权码和Access Token

**步骤1**，通过浏览器发送请求

[http://localhost:8080/oauth/authorize?client\_id=app&][http_localhost_8080_oauth_authorize_client_id_app]

[redirect\_uri=http://localhost:9000/callback&][http_localhost_8080_oauth_authorize_client_id_app]

[response\_type=code&][http_localhost_8080_oauth_authorize_client_id_app]

[scope=read&][http_localhost_8080_oauth_authorize_client_id_app]

[state=1001][http_localhost_8080_oauth_authorize_client_id_app]

其中client\_id是第三方应用在授权系统中备案的client名称

redirect\_uri是授权成功或失败后跳转回来的地址，localhost:9000我是没有启动服务的，只是为了拿到授权码

response\_type是请求返回授权码

scope是请求的授权范围

state是自定义的信息，会跟着 redirect\_uri返回。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 1][]

如图：这里授权服务要求输入用户名和密码，这里输入配置文件里配置的root:root

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 2][]

这里选择Approve并授权，页面会跳转如下地址，就可以拿到授权码了。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 3][]

**步骤2**：通过授权码获取Access Token，这里使用Postman工具

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 4][]

![20190906154049589.png][]

Header添加Content-Type，点击发送获得了access\_token就是令牌。

**步骤3**：通过令牌获取用户信息

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 5][]

**步骤4**：修改一下token，后面添加111，提示token无效

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 6][]

## 刷新令牌 ##

令牌的有效期默认是12个小时，如果令牌到期了，提示用户再去重新走一遍流程，体验不太好，所以OAuth2.0支持刷新令牌，使用刷新令牌去申请一个新令牌。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 7][]

先修改一下授权服务器的配置，把令牌有效期修改为10秒（默认12小时），刷新令牌（默认30天），同时必须配置支持refresh\_token。

@Configuration
    @EnableAuthorizationServer
    public class OAuth2AuthorizationServer extends AuthorizationServerConfigurerAdapter {
    
        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory()
                    // 客户端id
                    .withClient("app")
                    // 客户端密钥
                    .secret("123")
                    // 权限
                    .scopes("read","write")
                    // 获取授权码后重定向地址
                    .redirectUris("http://localhost:9000/callback")
                    //令牌有效期秒
                    .accessTokenValiditySeconds(10)
                    // 刷新令牌有效期秒
                    //.refreshTokenValiditySeconds(1000)
                    // 授权码和刷新token
                    .authorizedGrantTypes("authorization_code","refresh_token");
        }
    
    }

启动应用，再次获取授权码和令牌

![20190912095332700.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 8][]

等待令牌超时后调用获取用户信息接口，提示token无效

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 9][]

通过发送请求去获得新的token

[http://localhost:8080/oauth/token?grant\_type=refresh\_token&refresh\_token=4bd6a777-b2ce-46b1-b21f-4a2603de04b7][http_localhost_8080_oauth_token_grant_type_refresh_token_refresh_token_4bd6a777-b2ce-46b1-b21f-4a2603de04b7]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 10][]

再次获取用户信息

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 11][]

代码已经共享到GitHub，地址：[https://github.com/WYA1993/microservice][https_github.com_WYA1993_microservice]

参考文章和课程：

[OAuth2.0标准 RFC6749][OAuth2.0_ RFC6749]

[OAuth 2.0 的四种方式][OAuth 2.0]

[OAuth2.0详解（授权模式篇）][OAuth2.0]

《微服务架构实战160讲》——杨波

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/c7bdccaaee73400ba09ee5f4408424cf.png
[http_localhost_8080_oauth_authorize_client_id_app]: http://localhost:8080/oauth/authorize?client_id=app&redirect_uri=http://localhost:9000/callback&response_type=code&scope=read&state=1001
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 1]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/87514af6c2784f34accf7202c9d02cce.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 2]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/0fec6f49ccda4e329169684efe232984.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 3]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/22d91d137337404ea8c9e5956901d0b6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 4]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/c9fe49fa072c4aab9df64a396d4fc97c.png
[20190906154049589.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/c48d689597c44cadaccf78d16fbd0ed0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 5]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/0aaead42378f4d249f62f9f0d0e2b5c7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 6]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/7a9f94635de24c8784c969e80dfa9433.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 7]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/107fd68c694249d0824ddad5cda3c9b4.png
[20190912095332700.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/029a6d7510214eee9ca030ded56998d2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 8]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/3193b6d72068484bb5cd0bfa09328b54.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 9]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/9bf2d37c2a3a49d58d30df5d9f418fdf.png
[http_localhost_8080_oauth_token_grant_type_refresh_token_refresh_token_4bd6a777-b2ce-46b1-b21f-4a2603de04b7]: http://localhost:8080/oauth/token?grant_type=refresh_token&refresh_token=4bd6a777-b2ce-46b1-b21f-4a2603de04b7
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 10]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/611d3f0398cf4d5f9f7d8a5d76cbac2b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dZQTE5OTM_size_16_color_FFFFFF_t_70 11]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/18/22b7097dad2d4f099bcf84ab6d2e2d41.png
[https_github.com_WYA1993_microservice]: https://github.com/WYA1993/microservice
[OAuth2.0_ RFC6749]: https://tools.ietf.org/html/rfc6749
[OAuth 2.0]: http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html
[OAuth2.0]: https://blog.csdn.net/daihuimaozideren/article/details/77508642