1、Oauth2.0授权码模式
授权码模式获取 token,在获取 token 之前需要有一个获取 code 的过程。先用用户名和密码获取code,然后code会通过回调接口的方式 传递给我们, 拿到code之后,就可以去认证服务器申请token了。
相较于 客户端模式,用户密码模式, 授权码模式多了一步回调地址 传code的过程, 可以把回调地址理解为是用户的手机或者邮箱的回调,及时用户名密码 被泄露,也可以通过 这种方式 来用用户的其他信息 进行验证, 所以具有更高的安全性。
2、获取 code
2.1、主要步骤如下:
2.2、客户端信息配置
上一篇我们已经把客户端的认证配置放到数据库的oauth_client_details了, 如果需要开启某个客户端的授权码认证模式的话,还需要改几个字段。
- authorized_grant_types :允许的认证类型,需要加上授权码 authorization_code
- web_server_redirect_uri : 回调地址, 获取code的url里传的 回调地址 必须是客户端信息这个字段配置的, 不能乱写一个接口让 认证服务器回调。
- autoapprove :是否自动确认, 调接口获取code的时候,如果用户名密码正确的话,会弹出一个 确认的界面, 这个autoapprove = true的话,就会自动确认,不用弹出确认的界面。
2.3、回调接口编写
这个接口 在获取到了code之后,直接获取token。
在真实的项目中, 也可以把code放到用户的邮箱,或者是手机上, 让持有邮箱和手机的用户来输入 code,再去获取token, 所以说有更高的安全性。
@Slf4j
@RestController
@RequestMapping("/login")
public class LoginController {
@Autowired
private RestTemplate restTemplate;
@GetMapping("/callback")
public String callback(@RequestParam String code, String state, HttpSession session) {
log.info("code is {}, state is {}", code, state);
//认证服务器验token地址 /oauth/check_token 是 spring .security.oauth2的验token端点
HttpHeaders headers = new HttpHeaders();
headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);//不是json请求
//客户端的appId,appSecret,需要在数据库oauth_client_details注册
headers.set("Authorization", "Basic " + encodeBasicAuth("micro-shop", "123456", null));
MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
params.add("code", code);//授权码
params.add("grant_type", "authorization_code");//授权类型-授权码模式
//认证服务器会对比数据库客户端信息的的redirect_uri和这里的是不是一致,不一致就报错
params.add("redirect_uri", "http://localhost:9041/login/callback");
HttpEntity<MultiValueMap<String, String>> entity = new HttpEntity<>(params, headers);
String oauthServiceUrl = "http://127.0.0.1:9052/oauth/token";
ResponseEntity<AccessToken> response = restTemplate.exchange(oauthServiceUrl, HttpMethod.POST, entity, AccessToken.class);
session.setAttribute("token", response.getBody());
return JSONObject.toJSONString(response.getBody());
}
public static String encodeBasicAuth(String username, String password, @Nullable Charset charset) {
Assert.notNull(username, "Username must not be null");
Assert.doesNotContain(username, ":", "Username must not contain a colon");
Assert.notNull(password, "Password must not be null");
if (charset == null) {
charset = StandardCharsets.ISO_8859_1;
}
CharsetEncoder encoder = charset.newEncoder();
if (encoder.canEncode(username) && encoder.canEncode(password)) {
String credentialsString = username + ":" + password;
byte[] encodedBytes = Base64.getEncoder().encode(credentialsString.getBytes(charset));
return new String(encodedBytes, charset);
} else {
throw new IllegalArgumentException("Username or password contains characters that cannot be encoded to " + charset.displayName());
}
}
}
2.4、调接口获取code
获取code的接口为 /oauth/authorize
填入以下参数:
- client_id :开启了授权码认证的客户端id,案例中 数据库里 开启了授权码认证的客户端为 micro-shop
- response_type : 返回值类型,code
- redirect_uri : micro-shop客户端信息里配置的 回调url。
2.4.1、浏览器
1、开始请求
http://localhost:9052/oauth/authorize?client_id=micro-shop&response_type=code&redirect_uri=http://localhost:9041/login/callback
2、输入用户名和密码
3、确认界面
oauth_client_details配置的 micro-shop客户端的autoapprove字段为false就会出现一个确认的界面
4、全部确认之后,认证服务器就会调用 我们的回调地址,传入code
5、获取token
在回调地址后, 拿到code之后,
设置 Basic + 空格 + 客户端id和客户端密码 加密后的密文 到请求头Authorization 里
body参数 :
- code : 传入的code
- grant_type :授权类型, 填授权码 authorization_code
- redirect_uri :再一次确认回调地址, 认证服务器会对比数据库客户端信息的的redirect_uri和这里的是不是一致,不一致就报错, 只是确认,不会再回调这个接口了。
最终请求 /oauth/token接口,成功获取token。
2.4.2、postman或者是服务器代码获取code
如果是接口调用工具或者 是服务器代码去掉,那么 用户名和密码 肯定就无法以弹框的形式输入,而是要在一开始就需要 进行加密,再设置到 Authorization 请求头里。
1、用postman 设置Authorization 请求头, 对用户名 ,密码进行basic加密,
可以看到 Authorization 请求头 已经有了 加密后的信息
2、开启自动确认
接下来有个确认页面, 由于autoapprove = false,所以接口会返回一个确认页面的html代码,这对于 postman或者服务器代码 是没法用的, 所以我们需要把autoapprove 设置为true, 让其自动确认 , 跳过这个步骤, 才可以进行下去、
autoapprove 成true
再次调用接口,就不会返回确认界面的html代码了
3、认证服务器调用回调接口 & 获取token
认证服务器就直接调用 回调接口(回调接口 还是那个,逻辑没有任何改变),传入code,
设置参数,客户端id和密码的请求头,请求认证服务器 . 就可以成功获取到token啦.
之后拿到token 之后 就可以 去调用下游服务的接口了,和客户端模式,授权码模式一样。
3、三种 授权模式 总结
1、客户端模式
一般用在无需用户登录的系统做接口的安全校验,因为 token 只需要跟客户端绑定,控制粒度不够细
2、密码模式
密码模式,token 是跟用户绑定的,可以根据不同用户的角色和权限来控制不同用户的访问 权限,相对来说控制粒度更细
3、授权码模式
授权码模式更安全,因为前面的密码模式可能会存在密码泄露后,别人拿到密码也可以照样 的申请到 token 来进行接口访问,而授权码模式用户提供用户名和密码获取后,还需要有一个回调过程,这个回调你可以想象成是用户的手机或者邮箱的回调,只有用户本人能收到这 个 code,即使用户名密码被盗也不会影响整个系统的安全。
