1 Springboot SpringCloud集成OAuth2入门详细教程

关于OAuth2的解释，有一篇比较出名的文章——理解OAuth 2.0 - 阮一峰的网络日志（http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html），可以了解一下OAuth2的基础知识。

简单理解一下OAuth2，你要登录一个XX网站下片，但是下片需要注册登录成为这个网站的会员，你不想注册，还好网站提供了qq登录，你选择qq登录。那么问题来了，你选择qq登录时，会跳转到qq的登录页面，输入qq账号密码，注意，这时登录qq与这个XX网站是没关系的，这是qq做的登录页，登录时qq会问你是否允许该XXX网站获取你的个人信息如头像、昵称等，你勾选同意，登录成功后就又回到了XX网站的某个页面了。这是一个什么流程呢，其实是一个XX网站试图获取你个人信息、然后问你是否同意的一个流程。你同意了，qq才会允许第三方网站获取你的个人信息。

类似的场景还有很多，譬如你授权云打印平台去打印你云盘里的照片，这些统统归属于你（用户）授权第三方平台（Client，客户端）获取服务方（资源服务器）的资源。在这些场景下，你不需要在第三方平台输入你的账号密码，你所做的验证都是在服务方的认证服务器做的。认证通过后，认证服务器会返回一个token给第三方，第三方就可以拿着token去访问已经被授权访问的资源了，第三方不需要知道你的账号密码。当然，第三方能访问的资源的范围会在认证时显示出来给你看，你可以勾选哪些同意、哪些不同意，这样能避免第三方获取你太多的信息。

百度OAuth2认证流程实战

我们先来看看第三方平台是怎么工作的，我们自己充当一个第三方平台，用户不想在我的网站注册，我让他用百度账号登录，授权百度的个人信息给我。

这是百度的OAuth文档，http://developer.baidu.com/wiki/index.php?title=docs/oauth，要使用百度的OAuth认证，我们需要在百度开发者平台去创建一个应用

这里有API Key和Secret。

下图是OAuth的整个流程。

现在我们来执行OAuth的第一步，客户端要求用户给予授权。也就是用户到我们网站后，点击选择使用百度账号登录后，我们要做如下的事。

我们需要打开如下网址：http://openapi.baidu.com/oauth/2.0/authorize?client_id=VaAykBZSIK33tD1yRK3XoPtx&redirect_uri=http://qq.com&response_type=code&scope=basic&display=popup

这个网址就是百度设定的授权页面，里面的参数解释一下：

client_id就是你在百度开发者平台创建应用后得到的client_id，必填。

response_type为code，代表授权模式，授权模式有4种，最常用的就是授权码模式，我们也只看授权码模式，别的不管，所以这里固定值为code，必填。

scope代表授权范围，可以客户端自己设定不同的值代表不同的范围，譬如abc代表只允许访问用户名头像、def允许访问相册，是个可选项。

百度的文档里讲了授权权限列表

这里我们使用scope=basic

display这个参数不是OAuth里的参数，是百度自己加的，属于第三方平台自己新加的参数，看介绍，百度的目的是让回调的网页更美观。

redirect_uri代表回调的地址，也就是说当我们访问上面的请求授权地址时，如果授权通过了，那么就会自动打开redirect_uri这个网址，并且把授权码code添加到该网址的后缀。

我们作为一个第三方平台，上一步请求百度授权的目的就是为了得到这个授权码code。然后好拿着这个code，去进行下一步操作，去获取token。

上面我写的redirect_uri是http://qq.com，只是为了演示，如果是真的自己平台，需要填自己的网址。

然后在安全设置里，把授权回调页，填写进行，保存。注意，这里填的回调页需要和上面的redirect_uri网址的一样才行。

一样OK，我们就可以去申请授权了，直接访问http://openapi.baidu.com/oauth/2.0/authorize?client_id=VaAykBZSIK33tD1yRK3XoPtx&redirect_uri=http://qq.com&response_type=code&scope=basic&display=popup

可以看到出来了这样一个界面，注意看右边的“允许test应用进行以下操作”，这个就是上面配置的scope决定的。像这样的界面很多，微信啊qq啊都有这样的授权页，你可以选择勾选你想让访问的信息范围。

这里我们输入自己的百度账号密码，点登录即可。这里你的百度账号密码第三方平台是拿不到的，这是百度的登录页。

登录成功后界面：

可以看到，百度回调打开了我们填写的redirect_url，并且把code覆在后面。如果这是你自己的域名服务器，你就可以使用code参数接收到值，并且进行下一步获取token的操作了。

下面我们来获取token。

访问https://openapi.baidu.com/oauth/2.0/token?grant_type=authorization_code&code=66bee35200ddf4dfb3bd3caca1969e4b&client_id=VaAykBZSIK33tD1yRK3XoPtx&client_secret=FgL5vYi1Fs11IprXB8LprHIv4fslTqsC&redirect_uri=http://qq.com

这里面的grant_type是固定的，别的几个都和上面一样，多了个secret，从你的百度开发者平台能看到。code就是上一步获取到的code，注意code是有时限的，获取到code后过一段时间就失效了，需要重新获取code。

返回值如下：

这个是百度的文档：

可以看到百度返回了token，session_key、session_secret、refresh_token等字段，貌似和OAuth官方描述的不一样，可能百度自己有自己的考虑吧。下图是阮一峰文章里讲的正常的返回值。

已经取得了token了，我们就可以调用百度的一些api了，譬如可以通过GET方法发送如下请求包来调用获取当前登录用户的基本资料的开放API接口：
GET https://openapi.baidu.com/rest/2.0/passport/users/getInfo?access_token=1.a6b7dbd428f731035f771b8d15063f61.86400.1292922000-2346678-124328

把token换成上一步取到的token，通过这个api就能获取到用户基本资料了。

OK，上面的几个步骤全部搞完，我们就已经完成了通过网页来搞定一次OAuth认证的全过程了。

SpringBoot OAuth2客户端实战

下面我们来使用SpringBoot完成一次同样的过程，来看看伟大的Spring为我们省略了哪几个步骤。此时我们就是个第三方平台，用户想要访问我们的内容，我们先让用户去登录他的百度账号给我们授权，就是这么个意思。

新建一个springboot项目，勾选web、Security，还要引入oauth2，最终的pom如下：

 

1. <?xml version="1.0" encoding="UTF-8"?>

2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

3. xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

4. <modelVersion>4.0.0</modelVersion>

5.  

6. <groupId>com.tianyalei</groupId>

7. <artifactId>test_oauth</artifactId>

8. <version>0.0.1-SNAPSHOT</version>

9. <packaging>jar</packaging>

10.  

11. <name>test_oauth</name>

12. <description>Demo project for Spring Boot</description>

13.  

14. <parent>

15. <groupId>org.springframework.boot</groupId>

16. <artifactId>spring-boot-starter-parent</artifactId>

17. <version>1.5.8.RELEASE</version>

18. <relativePath/> <!-- lookup parent from repository -->

19. </parent>

20.  

21. <properties>

22. <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>

23. <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>

24. <java.version>1.8</java.version>

25. </properties>

26.  

27. <dependencies>

28. <dependency>

29. <groupId>org.springframework.boot</groupId>

30. <artifactId>spring-boot-starter-security</artifactId>

31. </dependency>

32. <dependency>

33. <groupId>org.springframework.boot</groupId>

34. <artifactId>spring-boot-starter-web</artifactId>

35. </dependency>

36. <dependency>

37. <groupId>org.springframework.security.oauth</groupId>

38. <artifactId>spring-security-oauth2</artifactId>

39. </dependency>

40.  

41. <dependency>

42. <groupId>org.springframework.boot</groupId>

43. <artifactId>spring-boot-starter-test</artifactId>

44. <scope>test</scope>

45. </dependency>

46. <dependency>

47. <groupId>org.springframework.security</groupId>

48. <artifactId>spring-security-test</artifactId>

49. <scope>test</scope>

50. </dependency>

51. </dependencies>

52.  

53. <build>

54. <plugins>

55. <plugin>

56. <groupId>org.springframework.boot</groupId>

57. <artifactId>spring-boot-maven-plugin</artifactId>

58. </plugin>

59. </plugins>

60. </build>

61.  
62.  

63. </project>

在启动Application类上，加上@EnableOAuth2Sso注解

1. @SpringBootApplication

2. @EnableOAuth2Sso

3. public class TestOauthApplication {

4.  

5. public static void main(String[] args) {

6. SpringApplication.run(TestOauthApplication.class, args);

7. }

8. }

来定义一个controller

 

1. import org.springframework.web.bind.annotation.RequestMapping;

2. import org.springframework.web.bind.annotation.RestController;

3.  

4. /**

5. * @author wuweifeng wrote on 2017/10/18.

6. */

7. @RestController

8. public class PublicController {

9. @RequestMapping("/abc")

10. public String index() {

11. return "Hello abc";

12. }

13.  

14. }

然后在resource下的static目录放一个index.html文件，里面就写一个句话Hello就行了。

看起来没什么，就是个普通的工程，毫无特色是吗？

启动它，访问localhost:8080试试，发现报错了，我们原以为能进入index.html，但是并没有，它报错了：

而且还自动给跳转到了localhost:8080/login这个网址去了，这是为什么呢？

我们使用Chrome的开发者工具来看一下

当访问localhost:8080时，302跳转了，跳转到了localhost:8080/login，这是spring OAuth2自动完成的，它拦截所有的请求，然后302到login，然后去做一件事，就是去OAuth的认证服务端去做认证，也就是带着clientId，redirect_uri等等参数，去访问server，去拿code，如果你还记得上面我们用浏览器请求百度code的步骤，你就明白。

那认证服务器地址在哪呢，它不知道，所以它报错了，异常里说了，需要个地址。

我们在application.yml里配置地址

 

1. security:

2. oauth2:

3. client:

4. client-id: VaAykBZSIK33tD1yRK3XoPtx

5. client-secret: FgL5vYi1Fs11IprXB8LprHIv4fslTqsC

6. access-token-uri: http://openapi.baidu.com/oauth/2.0/token

7. user-authorization-uri: http://openapi.baidu.com/oauth/2.0/authorize

8. resource:

9. userInfoUri: https://openapi.baidu.com/rest/2.0/passport/users/getInfo

client下的那几个参数都明白，我们文章上面都讲过，还有几个参数没列出来，看下图

可以看到tokenName也是可以自定义的，默认是"access_token"，如果认证服务器不是这个，譬如Facebook的就叫"oauth_token"，那么就配置tokenName。还有那两个scheme是干什么的呢？看下图DefaultClientAuthenticationHandler.java

它们是来决定发请求时是放在header里还是用form表单提交过去。

client的几个配置参数都懂了，还有个resource.userInfoUri，这个是干什么的呢，先不要管它，后面就知道了。

以上全部配置完毕，再启动项目，访问localhost:8080

看到百度给我们返回了这样一个界面，正常情况下应该是一个百度登录的界面。看箭头地方，redirect_uri=localhost:8080/login，这个地址我们并没有配置，是spring OAuth它自动给我们加上的，如果你还记得的话，我们上面在百度的回调地址配了个http://qq.com，下面我们把他修改为箭头的地址

再次访问localhost:8080.

好的，这下就是正常界面了，填写百度账号密码，看看效果。

可以看到，进入到了我们之前添加的index.html里了。再次访问localhost:8080/abc，也正常进入到了abc方法的返回，不需要再次百度鉴权。说明百度正常授权，并且已经返回了token，只不过这些都由spring自动给我们处理了。

再来回忆一下步骤，发起认证请求，输入百度账号密码成功后给我们返回code，我们拿着code再去请求百度token，百度返回token，我们拿着token去请求百度API接口。

现在看看spring的步骤，发起认证请求，输入百度账号密码，over。spring帮我们自动处理了code和token相关的事情。

下面我们来看看application.yml里resource.userInfoUri是干什么的，我们先把它注释掉。然后重启，访问localhost:8080

发现访问变的很漫长，最终出错了，这是为什么呢？

原来是spring在获得token后，必须要调用一下resource.userInfoUri里的接口，看看到底有没有返回值，也就是要验证一下token是不是正确的，这一步是它自动完成的。获得token——调用接口获取user details信息，如果成功了，才算正常，然后才会返回到你最开始调用的localhost:8080。

所以这个userInfoUri是必须的，我们可以在百度的文档里找到这个获取用户信息的API接口，填上去就OK了。

这一篇详细讲了OAuth客户端的工作流程，和集成springboot后的工作步骤，后面我们会自己搭建OAuth服务端。