Spring Authorization Server授權伺服器入門

11月8日Spring官方已經強烈建議使用Spring Authorization Server替換已經過時的Spring Security OAuth2.0，距離Spring Security OAuth2.0結束生命週期還有小半年的時間，是時候做出改變了。目前Spring Authorization Server已經進入生產就緒階段。今天跟著胖哥的節奏搞一搞Spring Authorization Server授權伺服器框架。

目前Spring Security的體系

在目前的Spring Security 5.x中將OAuth2.0 Client和OAuth2.0 Resource Server進行了模組化。
Spring Security是一定要引入的。

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

如果你要增加OAuth2.0 Client支援，可以引入：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>

如果需要OAuth2.0 Resource Server支援，可以引入：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-oauth2-resource-server</artifactId>
        </dependency>

現在如果你要增加OAuth2.0 Authorization Server支援的話，額外引入下面的依賴就可以了：

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-authorization-server</artifactId>
        <!--  截至現在版本  -->
            <version>0.2.0</version>
        </dependency>

至此OAuth2.0三大模組齊活了。

Spring Authorization Server

我們的重點還是回到Spring Authorization Server上，目前該專案已經具備生產就緒能力。研究了幾天後，簡單出了一個DEMO，來幫助希望學習該框架的同學來理解它。

DEMO的流程

本DEMO將對OAuth 2.0的授權碼模式（authorization_code）進行演示。這裡分兩個專案;

• oauth2-client專案，顧名思義作為OAuth2.0 Client，發起對授權伺服器的請求授權。
• oauth2-server專案，基於Spring Authorization Server搭建的授權伺服器，提供授權服務。

使用者首先通過/oauth2/authorization/{registrationId}端點向oauth2-client發起請求：

GET /oauth2/authorization/felord HTTP/1.1
Host: 127.0.0.1:8080

被OAuth2AuthorizationRequestRedirectFilter攔截後組裝成下面的請求連結向授權伺服器oauth2-server發起授權碼授權：

GET /oauth2/authorize?response_type=code&client_id=felord-client&scope=message.read%20message.write&state=0CI0ziUDEnqMgqW0nzRNRCzLrs-9IMbqJzGZ47Zb0gY%3D&redirect_uri=http://127.0.0.1:8080/foo/bar HTTP/1.1
Host: localhost:9000

授權伺服器oauth2-server攔截到該請求後，會先檢查發起該請求的當前使用者是否認證。如果沒有認證就丟擲401，跳到授權伺服器的登入頁面，然後使用者執行了登入：

POST /login HTTP/1.1
Host: localhost:9000
Content-Type: application/x-www-form-urlencoded

username=felord&password=password&_csrf=301a7baf-9e9a-4b17-acd4-613c809bf7f5

成功登入後進行了302跳轉，繼續執行/oauth2/authorize授權請求。這時會判斷授權請求是否需要使用者授權確認，在本DEMO中使用者授權是需要二次確認的，會跳轉到下面這個頁面：

同意授權後，授權伺服器會呼叫redirect_uri並攜帶一個code和state向oauth2-client發起請求:

GET /foo/bar?code=MCSJnvhXNyjilBaCyw1sCrrArWk1bzsEdxe5Z3EFbkdLwp8ASmum62n4M7Tz45VNpp_16IWboBnXlgG3LEfgN7MQqkf0-vVZufGrQpvRioRcBbesAiawMt4cspTk06ca&state=-fRunxjpG0aziPXnfcW1Iw1Fy_5_NwlUAgxABPOfAb8= HTTP/1.1 
Host: 127.0.0.1:8080

oauth2-client的OAuth2AuthorizationCodeGrantFilter攔截到redirect_uri後向授權伺服器發起/oauth2/token請求：

POST /oauth2/token?grant_type=authorization_code&code=MCSJnvhXNyjilBaCyw1sCrrArWk1bzsEdxe5Z3EFbkdLwp8ASmum62n4M7Tz45VNpp_16IWboBnXlgG3LEfgN7MQqkf0-vVZufGrQpvRioRcBbesAiawMt4cspTk06ca&redirect_uri=https://127.0.0.1:8080/foo/bar HTTP/1.1Host: localhost:9000Authorization: Basic bWVzc2FnaW5nLWNsaWVudDpzZWNyZXQ=

這裡採用的認證方式是client-authentication-method: client_secret_basic方式，詳見OAuth2.0協議。

授權伺服器將Token返回給客戶端，完成請求，認證客戶端資訊如下：

到此基於Spring Authorization Server整個授權碼流程完成了。完整DEMO可關注GZH：碼農小胖哥 回覆 oauthserver獲取。原創不易還請多多點贊、轉發、再看。更多細節後面會持續跟進。

關注公眾號：Felordcn 獲取更多資訊

個人部落格：https://felord.cn