关于OAuth2.0认证的理解和java实现

本来想写写自己的理解的,发现没什么必要。。。

原理的话看阮一峰这篇就好:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

例子的一看这一篇:http://jinnianshilongnian.iteye.com/blog/2038646


其实对于之前没接触过认证流程的人来说,直接给你一个“oauth2.0”的概念,看了半天网上的资料你可能也还是会蒙,授权服务器,资源服务器,scope,access_token之类的全知道是什么了,就是不知道"oauth2.0"是什么,不知道scope怎么验证,code,access_token怎么生成的。

其实“oauth2.0”就是一个规则,一个流程,你完全可以什么库都不用自己按照那些请求参数回复参数,自己去实现那些规则,也是在按照“oauth2.0”走。

这次用的org.apache.oltu.oauth2库
去看一下源码,其实就是在实例各种请求时按照oauth2.0规范设置了各种参数要求,参数内容的验证,把请求封装成库里的请求,生成库里的回复,code,和access_token完全是随机生成的,和其他参数无关,没找到是怎么保持唯一性的

比如获取code就OAuthAuthzRequest oauthRequest =new OAuthAuthzRequest(request);

OAuthzRequest的构造方法里就限制了请求里各种参数的内容,是否缺失等。

类似的还有获取access_token的请求,资源服务器的请求等

有些针对认证方式还限制了请求的方式,如OAuthAuthzRequest oauthRequest =new OAuthAuthzRequest(request);自带的实例过程中写死了grant_type是authorization_code的要post请求,要想修改要么不用要么自己写一个OAuthAuthzRequest,重写那个限制地方的方法。


获取access_token后向资源服务器请求资源时,access_token可以用get拼在url上,这种方式十分不建议,可以post,本次是通过bearer的方式,写在header的Authorization里,如

Authorization:Bearer accessToken,获取的时候newBearerHeaderTokenExtractor().getAccessToken(request);

你可能感兴趣的:(关于OAuth2.0认证的理解和java实现)