我几天前读过 Oauth2,它有客户端、资源所有者、资源服务器、授权服务器等实体,我也理解这些解释。但我完全不理解授权类型,但我对以下类型感到困惑。 Oauth2 有 4 种不同的授权类型,例如,
请给我一些上述类型的实时示例以区分实现。我需要知道 spring security oauth2 有哪些类型的授权实现以及 spring oauth2 的完整流程与安全性。
我已经完成了一些使用 oauth2 和 spring mvc、spring security 实现的示例。但这让我很困惑,我没有清楚地了解 api 的实现。
我正在寻找具有 Spring mvc 和 Spring 安全性的良好 Oauth2 流程和文档。请帮帮我。
【问题讨论】:
标签: spring spring-mvc spring-security oauth-2.0 spring-security-oauth2
授权码是基于重定向的流程,在大多数应用程序中,当我们通过 Facebook 或 google 登录时,我们使用这种授权类型。
隐式主要用于移动或单页应用程序,此处不保证客户端机密性。这也有一个类似于授权码的重定向流程。这不支持刷新令牌。
当客户端应用程序和资源所有者属于同一个应用程序时使用密码授予类型,当您的应用程序端到端工作时会出现这种情况。在这里,我们共享用户名和密码。与上述两个不同的是,我们通过 Facebook 或 google 进行身份验证。
客户端凭据:它是一种访问它自己的服务的方式。就像一个微服务访问另一个微服务。
【讨论】:
就理解流程和它们之间的区别而言,this presentation 是我在网上找到的最佳资源。在此之后,如果您阅读 OAuth2 规范说明,就会更容易理解。
不幸的是,就代码示例而言,没有好的 Spring Security OAuth2 示例代码(Sparklr 和 Tonr 示例还可以,但不是很清楚)。最好的资源是查看 Spring Security OAuth2 代码 on github 中的单元测试。
我想问的一个问题是 - 您是要创建自己的 OAuth2 提供程序,还是只想作为 OAuth2 客户端连接到 Facebook、Google 等。如果是第二部分,我建议跳过 Spring Security OAuth2 而是查看Spring Social project。
编辑: 要创建 OAuth2 提供程序,请查看 Dave Syer 的这段代码(他是 Spring Security OAuth 项目的负责人)。它展示了如何用 20 行代码创建 OAuth2 提供者和资源服务器。这是创建 Spring Security OAuth 代码的最简单方法。 https://github.com/dsyer/sparklr-boot
它使用 Spring Boot 和 Spring Security OAuth 项目。当然,您必须正确理解 Spring Security、JavaConfig 配置和 OAuth2 协议才能理解所有这些是如何工作的。
【讨论】:
上个月我也使用 spring 进入了 OAuth2。
我已经阅读了大部分OAuth2 spec 并使用了samples from the spring-security 源,这些都很棒。这样我就得到了一个正在运行的应用程序,我可以用它来玩并在规范旁边查看它的源代码。
【讨论】: