OAuth 2 Developers Guide
2016-05-12 15:10
337 查看
原文在这里
AuthorizationEndpoint 用于服务认证请求。默认URL: /oauth/authorize。(AuthorizationEndpoint是一个类,是OAuth2规范中认证端点的实现。接受认证请求,如果认证类型是认证码,则处理用户认可。除去implicit模式,token从Token端点中获取。它代表合法用户的行为,因此本端点需要被完全保护起来只开放给完全授权用户)
TokenEndpoint 用于服务访问令牌的请求。 默认 URL: /oauth/token。(TokenEndpoint是一个类,是OAuth2规范中令牌请求端点的实现。客户端发出一个带有grant_type参数的请求,以及其它与grant_type相关的参数。TokenGranter接口定义了所有支持的授权类型。客户端必须使用Spring Security Authentication进行认证来访问端点,client id从认证令牌中解析出来。)
实现OAuth 2.0资源服务,需要实现以下filter。
OAuth2AuthenticationProcessingFilter 用于给带有认证访问令牌的请求下载认证(load the Authentication)
所有的 OAuth 2.0提供者特性,只是使用专门的Spring OAuth @Configuration适配器做配置。也有xml命名空间用于oath配置。
@EnableAuthorizationServer注解,与任何实现AuthorizationServerConfigurer的@bean一起,配置OAuth 2.0认证服务机制。以下配置被授权独立的配置Spring创建的配置,并将它们变成AuthorizationServerConfigurer:
ClientDetailsServiceConfigurer:用于定义客户端细节服务的配置。可以初始化客户端细节,或者只是把它们引用到一个现有的store。
AuthorizationServerSecurityConfigurer:定义令牌端点的安全约束。
AuthorizationServerEndpointsConfigurer:定义认证和令牌端点以及令牌服务。
在认证码授权模式下,提供者配置需要指定认证码提供给OAuth客户端的方式。OAuth客户端将用户引导到授权页,在授权页用户输入证书,provider授权服务会给oauth客户端返回一个带有授权码的重定向页面。
在XML中可以使用元素进行相应的配置
- clientId:(必须)client id
- secret:(可信客户端必须)client secret,如果有的话
- scope:客户端被限制的范围。如果scope未定义或者是空的(默认情况下是空的),则客户端不受scope限制
- authorizedGrantTypes:客户端认证的授权类型。默认为空。
- authorities:客户端被授权的Authorities。
介绍
用户指南分两部分,分别介绍OAuth 2.0提供者和OAuth 2.0客户端。OAuth 2.0 提供者
OAuth 2.0 提供者机制负责扩展受OAuth 2.0保护的资源。OAuth 2.0客户端则可以访问受保护的资源或者代表用户行为,这些都需要进行配置来实现。OAuth 2.0 提供者通过管理和验证OAuth 2.0令牌(token)来实现这种保护。在适当的情况下,提供者应该向用户提供接口来证实客户端可以被授权。OAuth 2.0提供者实现
提供者的角色实际上分别分布在认证服务和资源服务里面,这两个服务可以部署在同一个应用中,或者根据需要,分割到两个应用中,或者多个资源服务共享同一个认证服务。对token的请求由 Spring MVC控制器端点处理,标对受保护资源的访问则由标准的Spring Security请求过滤器(filter)处理。为了实现OAuth 2.0认证服务,在Spring Security过滤链中需要以下端点(endpoints)。AuthorizationEndpoint 用于服务认证请求。默认URL: /oauth/authorize。(AuthorizationEndpoint是一个类,是OAuth2规范中认证端点的实现。接受认证请求,如果认证类型是认证码,则处理用户认可。除去implicit模式,token从Token端点中获取。它代表合法用户的行为,因此本端点需要被完全保护起来只开放给完全授权用户)
TokenEndpoint 用于服务访问令牌的请求。 默认 URL: /oauth/token。(TokenEndpoint是一个类,是OAuth2规范中令牌请求端点的实现。客户端发出一个带有grant_type参数的请求,以及其它与grant_type相关的参数。TokenGranter接口定义了所有支持的授权类型。客户端必须使用Spring Security Authentication进行认证来访问端点,client id从认证令牌中解析出来。)
实现OAuth 2.0资源服务,需要实现以下filter。
OAuth2AuthenticationProcessingFilter 用于给带有认证访问令牌的请求下载认证(load the Authentication)
所有的 OAuth 2.0提供者特性,只是使用专门的Spring OAuth @Configuration适配器做配置。也有xml命名空间用于oath配置。
认证服务配置
配置认证服务的时候,你需要考虑客户端从终端用户处得到访问令牌的方式(比如可以是这几种: authorization code, user credentials, refresh token)。对服务器的配置用于提供客户端细节服务/令牌服务以及其它全局属性机制的实现。每一个客户端都可以独立配置实用某种认证机制和访问授权方式。例如,你的provider配置成支持“client credentials”认证方式,不代表某一个特定的客户端就被授权可以使用这种认证类型。@EnableAuthorizationServer注解,与任何实现AuthorizationServerConfigurer的@bean一起,配置OAuth 2.0认证服务机制。以下配置被授权独立的配置Spring创建的配置,并将它们变成AuthorizationServerConfigurer:
ClientDetailsServiceConfigurer:用于定义客户端细节服务的配置。可以初始化客户端细节,或者只是把它们引用到一个现有的store。
AuthorizationServerSecurityConfigurer:定义令牌端点的安全约束。
AuthorizationServerEndpointsConfigurer:定义认证和令牌端点以及令牌服务。
在认证码授权模式下,提供者配置需要指定认证码提供给OAuth客户端的方式。OAuth客户端将用户引导到授权页,在授权页用户输入证书,provider授权服务会给oauth客户端返回一个带有授权码的重定向页面。
在XML中可以使用元素进行相应的配置
配置Client Details
ClientDetailsServiceConfigurer可以用于定义客户端细节服务的内存内或者jdbc实现。客户端的重要属性包括:- clientId:(必须)client id
- secret:(可信客户端必须)client secret,如果有的话
- scope:客户端被限制的范围。如果scope未定义或者是空的(默认情况下是空的),则客户端不受scope限制
- authorizedGrantTypes:客户端认证的授权类型。默认为空。
- authorities:客户端被授权的Authorities。
相关文章推荐
- PHP版QQ互联OAuth示例代码分享
- OAuth 2.0授权协议详解
- 在Nginx中增加对OAuth协议的支持的教程
- django接入新浪微博OAuth的方法
- 开放平台-web实现QQ第三方登录
- 自定义网页QQ登录按钮
- 微信OAuth授权获取用户OpenId-JAVA(个人经验)
- 腾讯微博Android客户端开发——OAuth认证介绍
- spring security oauth2
- 新浪OAuth同步方案(测试成功)
- oauth2.0初体验
- Android 关于新浪微博的OAuth2.0授权
- 在对OAUTH2理解基础上的一个小故事
- this is a weibo for test
- Google API 1: Google日历api操作 (PHP)
- Google API 1: Google日历api操作 (PHP)
- 新浪微博Oauth授权及API的使用
- 理解OAuth 2.0