Apache Oltu

1. 前言 在使用 OAuth2.0 中 Authorization Server （授权服务器）是一个回避不了的设施，在大多数情况下我们调用的是一些知名的、可靠的、可信任的第三方平台，比如 QQ、微信、微博、github 等。我们的应用只作为 Client 进行注册接入即可。也就是说我们只需要实现 OAuth2.0 客户端的逻辑就可以了，无须关心授权服务器的实现。然而有时候我们依然希望构建自己的 Authorization Server 。我们应该如何实现？今天不会讨论具体的技术细节，来谈谈 OAuth2.0 的技术选型。 2. Spring Security OAuth2 现状 在做 Spring Security 相关教程 的时候首先会考虑 Spring 提供的 OAuth2.0 功能。当我去 Spring 官网了解相关的类库时发现居然 Spring 的 OAuth2.0 类库即将过期的通知，有图有真相： 总结以下就是 Spring Security OAuth 的模块即将过期，后续的功能已经迁移到 Spring Security 5.2.x 中，但是不会再提供 Authorization Server 的功能。 在官方声明中还提到， 当前 Spring Security OAuth 分支是 2.3.x 和 2.4.x 。 2.3.x 版本将于 2020 年 3 月寿命终止

Apache的Oltu就是实现了OAuth的框架 参考文章： http://jinnianshilongnian.iteye.com/blog/2038646 https://blog.csdn.net/jing12062011/article/details/78147306 1. 搭建Maven工程框架 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.linkedbear</groupId> <artifactId>OAuth-Demo</artifactId> <version>0.0.1-SNAPSHOT</version> <properties> <oauth2.version>1.0.2</oauth2.version> </properties> <parent> <groupId>org

1.OAUTH2核心参数说明 grant_type 参数说明表格： grant_type 说明 authorization_code 标准的Server授权模式 password 基于用户密码的授权模式 client_credentials 基于APP密钥的授权模式 refresh_token 刷新accessToken response_type 参数说明表格： response_type 说明 code 标准的Server授权模式响应模式 token 脚本的授权响应模式，直接返回token，需要对回调进行校验 2.OAUTH2各种请求流程 2.1.Authorization Code（标准请求流程，必须实现） 标准的的Server授权模式，与目前开放平台的Session机制很像。第一步获取code,第二步code换token。 第一步：APP 首先发送获取code 请求 GET /authorize?response_type=code&client_id=s6BhdRkqt3& redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com 容器返回code HTTP/1.1 302 Found Location: https://client.example