• 不吐不快

　　因為專案需求開始接觸OAuth2.0授權協議。斷斷續續接觸了有兩週左右的時間。不得不吐槽的，依然是自己的學習習慣問題，總是著急想了解一切，習慣性地鑽牛角尖去理解小的細節，而不是從巨集觀上去掌握，或者說先用起來(少年，一輩子辣麼長，你這麼著急合適嗎？)。好在前人們已經做好了很好的demo，我自己照著抄一抄也就理解了大概如何用，依舊手殘黨，依舊敲不出好程式碼。懺悔…

• WHAT？

　　專案之中實際使用OAuth2.0實現是用的Spring Security OAuth2.0，一套基於Spring Security專案的實現，配合Spring Security配置使用。

　　總體來講，自己所理解的這套實現當中，是在Spring Security的基礎之上又增加了幾部分內容：

• authorization server

這部分配置算是OAuth2.0的核心配置部分。

該配置涉及:

　　client details service(第三方client端資訊查詢配置)、

　　token service(token查詢操作相關)、

　　authorization code service(授權code獲取)、

　　user approval handler(使用者授權處理)、

　　client端的各種grant_type等等。

同時，這部分內容“內建”了兩個FrameworkEndpoint(和Controller意義相同)：AuthorizationEndpoint和TokenEndpoint，分別對應請求/oauth/authorize和/oauth/token。只要在spring配置檔案中開啟MVC配置就能使用並攔截對應

該部分簡單配置：

 1 <mvc:annotation-driven/>
 2 <mvc:default-servlet-handler/>
 3 
 4 <!-- 1. OAuth2 related config -->
 5 <oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"
 6                                 user-approval-handler-ref
 
="oauthUserApprovalHandler"
 7                                 user-approval-page="oauth_approval"
 8                                 error-page="oauth_error">
 9        <oauth2:authorization-code authorization-code-services-ref="authorizationCodeServices" />
10        <oauth2:implicit/>
11        <oauth2:refresh-token/>
12        <oauth2:client-credentials/>
13        <oauth2:password/>
14    </oauth2:authorization-server>
15    
16 <!-- 1.1 client detail service -->
17 <beans:bean id="clientDetailsService" class="com.cyou.nad.bet.oauth.service.impl.CustomJdbcClientDetailsServiceImpl">
18     <beans:constructor-arg index="0" ref="platform_dataSource"/>
19 </beans:bean>
20 
21 <!-- 1.2 Config token services-->
22 <beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
23     <beans:property name="tokenStore" ref="tokenStore"/>
24     <beans:property name="supportRefreshToken" value="true"/>
25 </beans:bean>
26 <beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
27     <beans:constructor-arg index="0" ref="platform_dataSource"/>
28 </beans:bean>
29 
30 <!-- 1.3 oauthUserApprovalHandler -->
31 <beans:bean id="oauthUserApprovalHandler" class="com.cyou.nad.bet.oauth.approval.SimpleTokenServiceUserApprovalHandler">
32     <beans:property name="tokenServices" ref="tokenServices"/>
33     <beans:property name="oauthClientDetailsService" ref="oauthClientDetailsService"/><!-- FIXME 考慮直接使用clientDetailService -->
34    </beans:bean>
35 
36 <!-- 1.4 authorization code creator -->
37 <beans:bean id="authorizationCodeServices" class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices">
38        <beans:constructor-arg index="0" ref="platform_dataSource"/>
39 </beans:bean>

• 第三方client配置

在spring的這套實現當中，在第三方client端也有自己單獨的id、secret和許可權，所以從某種程度上來講，其實client端相當於是一種特殊的user了。

以前使用Spring Security配置user許可權校驗的時候，會配置authentication-manager，使用DB的話，還需要提供userService用於查詢DB獲取使用者資訊。

這裡在配置OAuth的時候，client端也有類似配置，同樣需要配置authentication-manager並指定clientDetailService。

實際後續瞭解更多之後，發現實際校驗時，二者封裝成的都是類UserDetails的例項

用於client端校驗的AuthenticationManager配置：

1 <authentication-manager id="oauth2ProviderManager">
2     <authentication-provider user-service-ref="oauth2ClientDetailsUserService"/>
3 </authentication-manager>
4 <beans:bean id="oauth2ClientDetailsUserService"
5             class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
6     <beans:constructor-arg ref="clientDetailsService"/>
7 </beans:bean>

• resource custom filter

在spring oauth2.0的配置當中，可以單獨配置resource-server，指定特定的resource-id。

這個resource-server的用處在於，之後會作為一個custom-filter加到Spring Security Filter Chain當中的。當第三方client嘗試訪問受限資源時，該filter會對client資訊和其攜帶過來的access_token進行校驗，校驗通過之後才能拿到資源。

resource配置：

1 <oauth2:resource-server id="userResourceServerFilter" resource-id="user" token-services-ref="tokenServices"/>

　　　　後續作為custom-filter新增到http配置中：

1 <http pattern="/oauth/userInfo*" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"
2       access-decision-manager-ref="oauth2AccessDecisionManager">
3     <anonymous enabled="false"/>
4     <!-- 獲取使用者資訊 -->
5     <intercept-url pattern="/oauth/userInfo*" access="ROLE_UNITY,scope=READ"/>
6     <custom-filter ref="userResourceServerFilter" before="PRE_AUTH_FILTER"/>
7     <access-denied-handler ref="oauth2AccessDeniedHandler"/>
8 </http>

另外需要一提的就是，OAuth2.0當中還有一個SCOPE的概念，相當於使用者對client授權訪問自己擁有的某一資源時，可以指定其範圍，比如read(只讀), write(可寫)，或者get_user_info(獲取使用者資訊), share(分享)等等。一開始沒有很好的理解，後來看到別的專案的配置，感覺可以這樣想：如果resource對應的是工程的Controller的話，那麼scope可以理解為Controller當中的方法，類似於user.getUserInfo()或者user.addShare()等。配置參考：https://github.com/cloudfoundry/uaa/blob/master/samples/api/src/main/webapp/WEB-INF/spring-servlet.xml

新增scope之後，在<http>配置的AccessDecisionManager中就需要新增用於oauth2.0 scope校驗相關的voter了：

<beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
    <beans:constructor-arg>
        <beans:list>
            <beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter">
                <beans:property name="scopePrefix" value="scope="></beans:property>
            </beans:bean>
            <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>
            <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>

　　關於Spring這套實現的配置，前輩們分享的已經很多了，基本都是類似的配置。後續主要整理對於整體流程和諸如code或token的生成和儲存規則相關的東西，最最重要的，還是要把使用過程中遇到的各種問題記錄下來才是。

轉載地址:

http://www.cnblogs.com/tinkerz/p/3759796.html