【Spring Security OAuth2笔记系列】- Spring Social第三方登录 - OAuth协议简介

使用Spring Social开发第三方登录

从本章开始进入了oauth协议;这里的第三方登录也是oauth协议;

OAuth协议简介

  • OAuth要解决的问题
  • OAuth协议中的各个角色
  • OAuth运行流程

OAuth要解决的问题

【Spring Security OAuth2笔记系列】- Spring Social第三方登录 - OAuth协议简介_第1张图片

考虑这样一个场景:假如开发一个APP-慕课微信图片美化,需要用户存储在微信上的数据;

传统的做法是:拿到用户的用户名密码
问题:

  • 应用可以访问用户在微信上的所有数据;(不能做到读授权一部分功能权限)
  • 只能修改密码才能收回授权
  • 密码泄露可能性提高

OAuth要使用Token令牌来解决以上的问题

  • 令牌绑定权限
  • 令牌有过期时间
  • 不需要用户的原始密码

OAuth协议中的各个角色

  • 服务提供商 Provider
  • 资源所有者 Resource Owner
  • 第三方应用 Client
  • 认证服务器 Authorization Server

    派发令牌

  • 资源服务器 Resource Server

    验证令牌,并提供服务

OAuth运行流程

【Spring Security OAuth2笔记系列】- Spring Social第三方登录 - OAuth协议简介_第2张图片

同意授权是关键;只有同意了才会有接下来的流程

OAuth提供了4中授权方式

  • 授权码模式 Authorization code
  • 简化模式 implicit
  • 密码模式 resource owner Password credentials
  • 客户端模式 client credentials

授权码模式流程

【Spring Security OAuth2笔记系列】- Spring Social第三方登录 - OAuth协议简介_第3张图片

该模式与其他三种模式不同,最重要的区别就是:同意授权这个动作,是在认证服务器上完成的,而其他的三种都是在第三方应用上完成的。

该模式是4中模式中最严格最完整的一种协议

简化模式

在授权后直接带回令牌

你可能感兴趣的:(#,spring,security+oauth2)