1.簡介

在本教程中，我們將了解OAuth2令牌身份驗證 ，以便只有經過身份驗證的用戶和應用程序才能獲得有效的訪問令牌，該令牌隨后可用于訪問服務器上的授權API（在OAuth術語中僅是受保護的資源）。

使用基于令牌的身份驗證，通過與服務器的每次交互共享有效的訪問令牌，用戶/應用程序可以在特定時間段內訪問受保護的資源。

2.令牌認證中涉及的事件

使用令牌身份驗證，所涉及的事件已在下圖中清晰地描述了–

客戶端應用程序首先從用戶（資源所有者）請求授權授權，因為我們經常會看到彈出授權或拒絕訪問其他應用程序數據的授權彈出窗口。 例如，Goibibo要求從您的Facebook帳戶訪問朋友。

一旦用戶通過在彈出窗口中單擊“授權”進行授權 ，客戶端應用程序（Goibibo）就會收到授權授權。

然后，客戶端應用程序（Goibibo）向授權服務器（Facebook）請求訪問令牌以及其自身的身份和在上一步中收到的授權授權。

如果客戶端應用程序已通過身份驗證，并且發現授權授予有效，則授權服務器（由Facebook）提供/向客戶端應用程序（Goibibo）發出訪問令牌。

然后，客戶端應用程序（Goibibo）通過隨后將訪問令牌傳遞給資源服務器（由Facebook）來訪問受保護的資源（facebook應用程序中的朋友），直到令牌在指定的時間段后過期。

3. OAuth2角色

以下列出了OAuth實現中的委托角色–

資源所有者 –能夠授予對受保護資源訪問權限的實體。 如果您登錄Goibibo，并且希望通過您的Facebook帳戶訪問朋友，則您是資源所有者，需要提供授權授權。

資源服務器 –托管受保護資源的服務器（Facebook），可以使用訪問令牌接受和響應受保護資源的請求。 這意味著朋友列表是服務器（Facebook）上托管的資源之一，可供其他第三方應用程序（Goibibo）訪問。

客戶端 –代表資源所有者（用戶）并獲得其授權的受保護資源請求的應用程序（Goibibo）。 我們將所有此類授權授予定義為上下文–

這意味著Gobibo作為客戶端應用程序可以訪問資源服務器（Facebook）上的管理好友列表。

授權服務器 –根據資源所有者（用戶）接收到的客戶端應用程序的身份和授權授予，向客戶端應用程序提供訪問令牌的服務器 。

4.授權補助

OAuth2提供四種類型的授權授予-

4.1授權碼

• 在服務器端應用程序中使用，因此維護了雙方的隱私。
• 最常見的。
• 基于重定向的流。
• 用戶授權請求通過用戶代理（Web瀏覽器）路由，并且客戶端應用程序必須具有足夠的能力與用戶代理進行交互，并從另一端的授權服務器接收授權代碼。

4.2隱式

• 有點類似于授權碼授予類型。
• 更常用于移動應用程序和Web應用程序。
• 在客戶端，由于授權代碼在移交給客戶端應用程序之前與用戶代理一起存儲在本地，因此存在隱私風險。 這可以公開給用戶設備上的其他應用程序。
• 不支持刷新令牌。

4.3資源所有者密碼憑證

• 在受信任的應用程序之間使用。
• 用戶（資源所有者）直接與客戶端應用程序共享憑據，客戶端應用程序在成功驗證用戶憑據并進一步授權用戶訪問服務器上的有限資源后，請求授權服務器返回訪問令牌。
• 這是我們將用于演示應用程序的授權授予類型。

4.4客戶憑證

• 當應用程序需要訪問其自己的服務帳戶段時使用，只有在該服務帳戶段的控制下它才能獲取資源。
• 因此，同一應用程序可能還有其他受信任的機密客戶端，它們擁有自己的應用程序個人服務帳戶，并可能在其控制下擁有不同的受保護資源。
• 應用程序通過將其憑據，客戶端ID和客戶端密鑰發送到授權服務器來請求訪問令牌。

5.令牌存儲

涉及的另一個重要組件是令牌存儲，它定義了如何存儲生成的令牌。 默認存儲是內存中的實現 ，但是也可以使用其他一些實現，可以根據需要使用它們–

InMemoryTokenStore –令牌存儲在服務器內存中，因此存在授權服務器重新啟動時丟失令牌的風險。

JwtTokenStore –所有授權和訪問授權數據都被編碼到令牌本身中，并且此類令牌不會在任何地方持久化。 此類令牌使用解碼器進行即時驗證，并且依賴于JwtAccessTokenConverter 。

JdbcTokenStore –令牌數據存儲在關系數據庫中。 使用此令牌存儲，可以安全地重新啟動授權服務器。 令牌也可以在服務器之間輕松共享，并且可以被吊銷。 注意，要使用JdbcTokenStore，我們將在類路徑中需要“ spring-jdbc”依賴項。

6.刷新令牌流

一旦訪問令牌在設計的時間段（根據下面的示例為119）后過期，我們可以使用refresh token重新生成一個新的有效訪問令牌 。 發出原始訪問令牌時會附帶刷新令牌，如下所示–

{ "access_token":"04f12761-501b-415b-8941-52bce532ce60","token_type":"bearer","refresh_token":"fc348b4f-de62-4523-b808-9935b1f2e46f","expires_in":119 }

單擊此處導航到官方OAuth2文檔

翻譯自: https://www.javacodegeeks.com/2017/09/understanding-oauth2-token-authentication.html

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的了解OAuth2令牌认证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。