Springboot + oauth2 单点登录 - 原理篇_springboot oauth2.0单点登录

一、前言

1.什么是OAuth2？

OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准，允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容，OAuth2.0是OAuth协议的延续版本，但不向后兼容OAuth 1.0即完全废止了OAuth1.0。

二、Oauh2详细介绍

1.OAuth2四种授权模式

授权码模式（authorization code）

密码模式（resource owner password credentials）

客户端模式（client credentials） 不常用

简化模式/隐式授权模式（implicit） 不常用

在进入正题前，先了解 OAuth2.0 授权过程中几个重要的参数

esponse_type：code 表示要求返回授权码，token 表示直接返回令牌

client_id：客户端身份标识

client_secret：客户端密钥

redirect_uri：重定向地址

scope：表示授权的范围，read只读权限，all读写权限

grant_type：表示授权的方式，AUTHORIZATION_CODE（授权码）、password（密码）、client_credentials（凭证式）、refresh_token 更新令牌

state：应用程序传递的一个随机数，用来防止CSRF攻击。

在理解OAuth 2.0作用之前，需要了解几个专用名词

（1）Third-party application：第三方应用程序，简称"客户端"（client）；

（2）HTTP service：HTTP服务提供商，简称服务端；

（3）Resource Owner：资源所有者，简称"用户"（user）；

（4）User Agent：用户代理，是指浏览器；

（5）Authorization server：认证服务器，即服务端专门用来处理认证的服务器；

（6）Resource server：资源服务器，即服务端存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

1.1 授权码模式（authorization code）

1. 用户访问应用前端页面（验证是否登录）；
2. 访问的页面将请求重定向到认证服务器；
3. 认证服务器等待用户授权（输入账号、密码）；
4. 用户授权，认证服务器验证（Clinet_id和身份认证），生成一个code（授权码）—>认证前端—>应用前端—>应用服务器；
5. 应用服务器使用client_id、client_secret、code去认证服务器获取token,refresh_token（我们默认应用服务器和认证服务器之间的通信是安全的）；
6. 然后，应用服务器拿到code， 并用client_id去后台查询对应的client_secret；
7. 第七步：验证token，访问真正的资源页面。

主流第三方验证使用的模式

优点：安全：token授权，refresh_token换取新token；4、5步为服务器之间访问难以被截获；用户信息存在引用服务器暴露风险小、secret存在服务端所以完全性高。

缺点：多次请求

1.1.1 请求示例

OAuth2.0四种授权中授权码方式是最为复杂，但也是安全系数最高的，比较常用的一种方式。这种方式适用于兼具前后端的Web项目，因为有些项目只有后端或只有前端，并不适用授权码模式。

下图以用WX登录掘金为例，详细看一下授权码方式的整体流程。

用户选择WX登录掘金，掘金会向WX发起授权请求，接下来 WX询问用户是否同意授权（常见的弹窗授权）。response_type 为 code 要求返回授权码，scope 参数表示本次授权范围为只读权限，redirect_uri 重定向地址。

https://wx.com/oauth/authorize?
response_type=code&
client_id=CLIENT_ID&
redirect_uri=http://juejin.im/callback&
  scope=read
1
2
3
4
5

1.1.2 用户同意授权后，根据 redirect_uri重定向并带上授权码。

http:/