OAuth2 and Spring Security

OAuth2和Spring Security（请选择以下列出的主题并尝试，越好越好）

1.了解OAuth2概念和支持的授权类型流程。 并研究如何根据客户类型以及是否涉及用户选择授予类型。 （推荐的）

参考学习文章：理解OAuth 2.0-阮一峰
专有名词

  (1） Third-party application：第三方应用程序，本文中又称"客户端"（client），即上一节例子中的"云冲印"。

（2）HTTP service：HTTP服务提供商，本文中简称"服务提供商"，即上一节例子中的Google。

（3）Resource Owner：资源所有者，本文中又称"用户"（user）。

（4）User Agent：用户代理，本文中就是指浏览器。

（5）Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。

（6）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

OAuth的作用就是让"客户端"安全可控地获取"用户"的授权，与"服务商提供商"进行互动。

image.png

OAuth在"客户端"与"服务提供商"之间，设置了一个授权层（authorization layer）。"客户端"不能直接登录"服务提供商"，只能登录授权层，以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌（token），与用户的密码不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。
"客户端"登录授权层以后，"服务提供商"根据令牌的权限范围和有效期，向"客户端"开放用户储存的资料。

（A）用户打开客户端以后，客户端要求用户给予授权。

（B）用户同意给予客户端授权。

（C）客户端使用上一步获得的授权，向认证服务器申请令牌。

（D）认证服务器对客户端进行认证以后，确认无误，同意发放令牌。

（E）客户端使用令牌，向资源服务器申请获取资源。

（F）资源服务器确认令牌无误，同意向客户端开放资源

第三方登录原理，流程，url 处理走向

image.png

1. A 网站让用户跳转到 GitHub。
从页面的link 去登录通过github：

url:https://github.com/login/oauth/authorize?client_id=7e015d8ce32370079895&redirect_uri=http://localhost:8080/oauth/redirect
client_id告诉 GitHub 谁在请求，redirect_uri是稍后跳转回来的网址。
参数：client_id,redirect_uri

2.GitHub 要求用户登录，然后询问"A 网站要求获得 xx 权限，你是否同意？"

同意：GitHub 就会跳转到redirect_uri指定的跳转网址

3. 用户同意，GitHub 就会重定向回 A 网站，同时发回一个授权码。

url: http://localhost:8080/oauth/redirect?code=859310e7cecc9196f4af

4. A 网站使用授权码，向 GitHub 请求令牌。

GitHub 返回令牌.
https://github.com/login/oauth/access_token?client_id=123456&client_secret=saaddfsddfs&code=859310e7cecc9196f4af
method:post
headers:{
accept:'application/json'
}
Response:{
access_token: fsljfjlsdfsdlslfa
}

5. A 网站使用令牌，向 GitHub 请求用户数据。

url:https://api.github.com/user
headers:{
accept:'application/json',
Authorization: 'token fsljfjlsdfsdlslfa'
}

OAuth四种类型：

OAuth 2.0 规定了四种获得令牌的流程

• 授权码（authorization-code
  这种方式是最常用的流程，安全性也最高，它适用于那些有后端的 Web 应用。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。
  https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read
  
  

  image.png
  
  https://a.com/callback?code=AUTHORIZATION_CODE
  
  

  image.png
  
  https://b.com/oauth/token?
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET&
  grant_type=authorization_code&
  code=AUTHORIZATION_CODE&
  redirect_uri=CALLBACK_URL
  
  

  image.png

{
"access_token":"ACCESS_TOKEN",
"token_type":"bearer",
"expires_in":2592000,
"refresh_token":"REFRESH_TOKEN",
"scope":"read",
"uid":100101,
"info":{...}
}

image.png

• 隐藏式（implicit)
  有些 Web 应用是纯前端应用，没有后端。这时就不能用上面的方式了，必须将令牌储存在前端。RFC 6749 就规定了第二种方式，允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤，所以称为（授权码）"隐藏式"（implicit）。

https://b.com/oauth/authorize?
response_type=token&
client_id=CLIENT_ID&
redirect_uri=CALLBACK_URL&
scope=read
上面 URL 中，response_type参数为token，表示要求直接返回令牌。
https://a.com/callback#token=ACCESS_TOKEN
注意，令牌的位置是 URL 锚点（fragment），而不是查询字符串（querystring），这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议，因此存在"中间人攻击"的风险，而浏览器跳转时，锚点不会发到服务器，就减少了泄漏令牌的风险。
这种方式把令牌直接传给前端，是很不安全的。因此，只能用于一些安全要求不高的场景，并且令牌的有效期必须非常短，通常就是会话期间（session）有效，浏览器关掉，令牌就失效了。

• 密码式（password）：

1. 第一步，A 网站要求用户提供 B 网站的用户名和密码。拿到以后，A 就直接向 B 请求令牌。

https://oauth.b.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID

上面 URL 中，grant_type参数是授权方式，这里的password表示"密码式"，username和password是 B 的用户名和密码。

2. 第二步，B 网站验证身份通过后，直接给出令牌。注意，这时不需要跳转，而是把令牌放在 JSON 数据里面，作为 HTTP 回应，A 因此拿到令牌
   用户给出自己的用户名/密码，显然风险很大，因此只适用于其他授权方式都无法采用的情况，

• 客户端凭证（client credentials）
  最后一种方式是凭证式（client credentials），适用于没有前端的命令行应用，即在命令行下请求令牌。

1. 第一步，A 应用在命令行向 B 发出请求。

https://oauth.b.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

2. 第二步，B 网站验证通过以后，直接返回令牌。
   这种方式给出的令牌，是针对第三方应用的，而不是针对用户的，即有可能多个用户共享同一个令牌。
   更新令牌
   令牌的有效期到了，如果让用户重新走一遍上面的流程，再申请一个新的令牌，很可能体验不好，而且也没有必要。OAuth 2.0 允许用户自动更新令牌。

具体方法是，B 网站颁发令牌的时候，一次性颁发两个令牌，一个用于获取数据，另一个用于获取新的令牌（refresh token 字段）。令牌到期前，用户使用 refresh token 发一个请求，去更新令牌。

https://b.com/oauth/token?
  grant_type=refresh_token&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET&
  refresh_token=REFRESH_TOKEN

上面 URL 中，grant_type参数为refresh_token表示要求更新令牌，client_id参数和client_secret参数用于确认身份，refresh_token参数就是用于更新令牌的令牌。
B 网站验证通过以后，就会颁发新的令牌。

2.了解为什么不再建议授予类型“隐式代码”。 （推荐的）
3.使用openid（例如GitHub）或Spring安全授权服务器构建Spring安全演示（包括客户端和资源服务器）。 （推荐的）
4.使用启用了Spring安全性的资源服务器构建Vue.js客户端（仅基于浏览器）（推荐）
5.构建包括客户端，网关，资源服务器在内的Spring安全演示，并在网关中进行身份验证（可选）。
6.用UAA服务器构建Spring安全演示（包括客户端和资源服务器）。 您可以参考：
•PCF uaa示例应用程序：https://github.com/pivotal-cf/identity-sample-apps
•UAA服务器https://docs.run.pivotal.io/concepts/architecture/uaa.html（可选）