一、《Spring Security开发安全的REST服务》视频笔记---part3:Spring Security Oauth、Spring Social部分
1、OAuth协议
OAuth协议要解决的问题、OAuth协议中的各种角色、OAuth协议运行流程
其中的第二步“同意授权”有4种授权模式:
对于“授权码模式”,Oauth流程如下:
这个模式与另外三种模式的区别和特点是:①用户同意授权这个动作是在认证服务器完成的(其它模式这一动作是在第三方应用完成的),由于用户同意授权这个动作是在认证服务器完成,所以认证服务器可以明确知道用户的确有同意授权②第一次是返回授权码而不是令牌(这就要求第三方应用有自己的服务器,且这样安全性更高)③这种模式是主流(功能最完整,流程最严格)
2、SpringSocial基本原理
SpringSocial基本原理(使用SpringSocial开发第三方登录)
SpringSocial封装了上面整个流程。(多了第6步和第7步,即可以完成第三方登录)
SpringSocial加入一个新的filter:
关键类:
3、开发QQ登录
4、开发微信登录
5、SpringSecurityOauth
左边是之前的架构,右边是现在的app或者前后端分离的架构:
不再基于cookie,而是token:
SpringSecurityOauth和SpringSocial的关系:前者发令牌
略。
6、使用JWT(Json Web Token)替换默认令牌(对应视频6-9)
