一、OAuth2是什么
OAuth2是一种开放标准,用于授权第三方应用访问用户资源的安全协议。它允许用户授权第三方应用访问其受保护的资源,而不必向第三方应用公开用户凭据。OAuth2在实现授权时,是通过令牌来完成认证的,因此常被称为“令牌授权”(Token Authorization)。
比如我们在使用某些APP登录时,会提示"授权登录"或"使用手机号验证登录"。这就是通过OAuth2协议授权的过程。
二、Java中的OAuth2实现方式
在Java中,有许多第三方的OAuth2实现库,比如spring-security-oauth2、Apache Oltu等,这些库都为在Java中实现OAuth2提供了很好的帮助。
三、Java中的OAuth2组件
1. 授权服务器(Authorization Server)
OAuth2授权服务器的主要职责是颁发访问令牌(access token)给客户端,用于客户端访问用户授权的资源。在Java中,可以使用spring-security-oauth2来实现授权服务器。
2. 客户端(Client)
OAuth2客户端代表用户来访问受保护的资源。在Java中,可以使用spring-security-oauth2的客户端来实现客户端。
3. 用户存储(User Store)
OAuth2的用户存储用于保存用户信息,包括用户信息和密码等。在Java中,可以使用spring-security来实现用户存储。
四、Java中的OAuth2实现示例
1. 准备工作
在实现OAuth2前,需要准备以下工作:
1)建立Maven项目
2)添加spring-security-oauth2依赖
<dependencies>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
<version>2.3.4.RELEASE</version>
</dependency>
</dependencies>
3)创建授权服务器和客户端。
2. 授权服务器实现
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private DataSource dataSource;
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey("123456");
return converter;
}
@Bean
public TokenStore tokenStore() {
return new JdbcTokenStore(dataSource);
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("client")
.secret("{noop}secret")
.scopes("read", "write")
.authorizedGrantTypes("password", "authorization_code", "refresh_token")
.accessTokenValiditySeconds(3600)
.refreshTokenValiditySeconds(864000)
.redirectUris("http://localhost:8080/login/code/");
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager)
.accessTokenConverter(jwtAccessTokenConverter())
.userDetailsService(userDetailsService)
.tokenStore(tokenStore());
}
}
3. 客户端实现
@Configuration
@EnableOAuth2Client
public class OAuth2ClientConfig {
@Autowired
private OAuth2ClientContext oAuth2ClientContext;
@Bean
public OAuth2RestTemplate oauth2RestTemplate() {
OAuth2RestTemplate template = new OAuth2RestTemplate(resourceDetails(), oAuth2ClientContext);
AccessTokenProviderChain providerChain = new AccessTokenProviderChain(
Arrays.asList(new AuthorizationCodeAccessTokenProvider()));
providerChain.setClientTokenServices(new JdbcClientTokenServices());
template.setAccessTokenProvider(providerChain);
return template;
}
@Bean
public OAuth2ProtectedResourceDetails resourceDetails() {
AuthorizationCodeResourceDetails resourceDetails = new AuthorizationCodeResourceDetails();
resourceDetails.setId("client");
resourceDetails.setClientId("client");
resourceDetails.setClientSecret("secret");
resourceDetails.setAccessTokenUri("http://localhost:8080/oauth/token");
resourceDetails.setScope(Arrays.asList("read", "write"));
resourceDetails.setUserAuthorizationUri("http://localhost:8080/oauth/authorize");
resourceDetails.setPreEstablishedRedirectUri("http://localhost:8080/login/code/");
resourceDetails.setUseCurrentUri(false);
return resourceDetails;
}
}
五、总结
通过上述示例,我们可以看到在Java中实现OAuth2授权是非常简单的。对于授权服务器和客户端的实现,我们只需要通过开源库spring-security-oauth2来完成即可。
