一、介紹authorizedgranttypes
在OAuth2中,授權模式可以說是至關重要的。在Java Spring Security中,我們可以使用authorizedgranttypes來指定此授權伺服器支持的授權模式。授權模式定義了客戶端應用程序與授權伺服器之間進行交互的方式,從而獲取令牌來訪問受保護的資源。Spring Security支持多種授權模式,可以通過配置來啟用或禁用它們。
二、各種授權模式
1、授權碼模式
授權碼模式是OAuth2中最常用的授權模式,它的安全性非常高。在授權碼模式中,流程如下:
第一步:客戶端發起授權請求 GET /authorize?response_type=code&client_id=clientapp&redirect_uri=http://localhost:9001/callback&scope=read_userinfo HTTP/1.1 Host: localhost:9000 Authorization: Basic Y2xpZW50YXBwOjEyMzQ1Ng== Accept: */* 第二步:用戶同意授權 第三步:授權伺服器返回授權碼 GET /callback?code=授權碼&state=xyz HTTP/1.1 Host: localhost:9001 Accept: */*
在Spring Security中可以這麼配置:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Bean
public TokenStore tokenStore() {
return new InMemoryTokenStore();
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("clientapp")
.secret("123456")
.redirectUris("http://localhost:9001/callback")
.authorizedGrantTypes("authorization_code")
.scopes("read_userinfo")
.autoApprove(true);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager)
.tokenStore(tokenStore());
}
}
2、刷新令牌模式
刷新令牌模式是當令牌過期時,可以通過刷新令牌來獲取新的令牌。在Spring Security中,我們可以使用authorizedgranttypes來指定此授權伺服器支持的授權模式。使用刷新令牌模式的客戶端應用程序需要提供舊的令牌和刷新令牌。
在Spring Security中可以這麼配置:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Bean
public TokenStore tokenStore() {
return new InMemoryTokenStore();
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("clientapp")
.secret("123456")
.redirectUris("http://localhost:9001/callback")
.authorizedGrantTypes("refresh_token")
.scopes("read_userinfo")
.autoApprove(true);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager)
.tokenStore(tokenStore());
}
}
3、密碼模式
密碼模式適用於其它授權模式都無法滿足需求的情況,比如第三方應用程序無法使用授權碼模式或使用Refresh Token模式。在這種情況下,客戶端應用程序會將用戶名和密碼發送到授權伺服器,然後授權伺服器會返回令牌。
在Spring Security中可以這麼配置:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Bean
public TokenStore tokenStore() {
return new InMemoryTokenStore();
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("clientapp")
.secret("123456")
.authorizedGrantTypes("password")
.scopes("write", "read")
.autoApprove(true);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager)
.tokenStore(tokenStore());
}
}
4、客戶端模式
客戶端模式是在第三方應用程序訪問自己的資源時使用的,它不需要用戶的參與。在這種模式下,我們可以使用Spring Security來配置客戶端,如下:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Bean
public TokenStore tokenStore() {
return new InMemoryTokenStore();
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("clientapp")
.secret("123456")
.authorizedGrantTypes("client_credentials")
.scopes("resource-server-read", "resource-server-write")
.autoApprove(true);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.tokenStore(tokenStore());
}
}
三、結語
在本文中我們介紹了Spring Security中所有支持的授權模式,同時也給出了相關的代碼展示。對於一個全能編程開發工程師來說,掌握這些授權模式,在開發過程中能夠更靈活地運用其授權方式,實現更加高效、流暢的開發。
原創文章,作者:NEYZH,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/368910.html
微信掃一掃 
支付寶掃一掃 