Spring OAuth2的一个非常简单的例子

时间:2017-06-23 08:28:30

标签: java spring spring-security oauth

我在与Spring OAuth2挣扎。我想做的只是非常简单,而且我不知道从哪里开始。我发现的所有例子都不一样,而且我完全迷失了。

我有一个登录表单,包含用户名和密码。当我提交表格时,我想

  • 连接到ldap服务器以检查用户是否存在(该部分已完成)
  • 如果用户存在,我想获取一个带OAuth2的访问令牌,以允许该用户访问我们的API
  • 将以下回复发送给客户:{&#34;用户名&#34;:&#34; john doe&#34;,&#34; access_token&#34;:&#34; my_token&#34;} < / LI>

这看起来非常简单,但是虽然我阅读了很多关于OAuth2的文档,但我找不到使用Spring OAuth2的方法。首先,我使用了该教程:Implementing OAuth2 with Spring Security但它只关注服务器配置,并且没有为客户端提供源代码。

有人能为我提供一个源代码示例吗? 谢谢你的帮助

1 个答案:

答案 0 :(得分:3)

好的,这是一个两部分认证。

  • 首先,您将执行HTTP Get以获取代码。因此,客户端将被重定向到身份验证服务器。

    一旦他输入登录/密码并成功验证Oauth2应用程序,他将被重定向回他的客户端应用程序,并将代码添加为URL中的参数。

  • 客户端从URL获取代码并使用HTTP POST使用代码作为请求参数回调身份验证服务器,并且他将在响应中获取访问令牌,然后将访问令牌用作用于访问

  • 的标题

此过程的实施取决于您将使用的客户端技术。

以下是调用Oauth2应用程序的第三方Servlet的示例:

 @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
    {
        final HttpSession session = request.getSession();
        final String code = Strings.nullToEmpty(request.getParameter("code"));

        if (!code.isEmpty()) {
            this.getAccessToken(response, session, code);
        } else {
            this.getOAuth2AuthorizationUrl(response, session);
        }
    }

1 - 首先,我们调用servlet而不使用code参数来调用将我们重定向到认证服务器的方法:

private void getOAuth2AuthorizationUrl(HttpServletResponse response, HttpSession session)
{
  final String oauth2AuthorizationUrl = "http://localhost:8080/oauth/authorize?" +
   + "response_type=code"
   + "&client_id=client-with-registered-redirect" 
   + "&redirect_url=http://client_host?key=value"
   + "&scope=read"
      try {
          final PrintWriter writer = response.getWriter();
          writer.write(oauth2AuthorizationUrl);
          writer.flush();
      } catch (IOException e) {
          log.error("IO Exception : {}", e.getMessage());
      }
}

2 - 获得代码后,我们发布了获取访问令牌的请求:

 private void getAccessToken(HttpServletResponse response, final HttpSession session, final String code)
    {
        HttpClient httpClient = new HttpClient();
        PostMethod accessTokenRequest = new PostMethod(accessTokenEndpoint);
        AccessToken var8;
        try {
            accessTokenRequest.addRequestHeader(new Header("Authorization", "Basic " + "http://localhost:8080/oauth/token"));
            accessTokenRequest.addRequestHeader(new Header("Accept", "application/json"));
            NameValuePair[] params = new NameValuePair[] { new NameValuePair("code", code),
                    new NameValuePair("grant_type", "authorization_code"),
                    new NameValuePair("redirect_uri", " your redirect uri"), new NameValuePair("client_id", "your client id") };
            accessTokenRequest.setQueryString(EncodingUtil.formUrlEncode(params, UTF_8.displayName()));
            httpClient.executeMethod(accessTokenRequest);
            if (accessTokenRequest.getStatusCode() != 200) {
                this.toException(accessTokenRequest);
                return null;
            }

            // JSON response Object AccessToken
            AccessToken accessToken = (AccessToken) PARSER.readValue(accessTokenRequest.getResponseBodyAsStream(),
                    AccessToken.class);
            final PrintWriter writer = response.getWriter();
            writer.append(accessToken.getTokenString);
            writer.flush();
        } catch (IOException e) {
            log.error("IO Exception : {}", e.getMessage());
        }

        finally {
            accessTokenRequest.releaseConnection();
        }
    }

您可以在客户端的HTTP Response上获取访问令牌,并使用它来访问资源。