OAuth2 - wzz-code/cloud-security-sample GitHub Wiki

OAuth2单点登录

这里是一个Spring Cloud “Hello World”应用程序，使用HTTP基本身份验证和单个用户账户：

app.groovy

@Grab('spring-boot-starter-security')
@Controller
class Application {

  @RequestMapping('/')
  String home() {
    'Hello World'
  }
}

你可以使用spring run app.groovy运行它，并观察密码的日志（用户名是“user”）。到目前为止，这只是Spring Boot应用程序的默认值。

以下是采用OAuth2 SSO的Spring Cloud应用程序：

app.groovy

@Controller
@EnableOAuth2Sso
class Application {

  @RequestMapping('/')
  String home() {
    'Hello World'
  }
}

指出不同？这个应用程序的行为与上一个应用程式完全相同，因为它不知道它是OAuth2凭证。

你可以很容易地在github中注册一个应用程序，所以试试，如果你想要一个生产应用程序在自己的域。如果您乐意在localhost：8080上测试，请在应用程序配置中设置这些属性：

application.yml

security:
  oauth2:
    client:
      clientId: bd1c0a783ccdd1c9b9e4
      clientSecret: 1a9030fbca47a5b2c28e92f19050bb77824b5ad1
      accessTokenUri: https://github.com/login/oauth/access_token
      userAuthorizationUri: https://github.com/login/oauth/authorize
      clientAuthenticationScheme: form
    resource:
      userInfoUri: https://api.github.com/user
      preferTokenInfo: false

运行上面的应用程序，它会重定向到github进行授权。如果你已登录到github，你甚至不会注意到它已验证。这些凭据只有在您的应用程序在端口8080上运行时才有效。

要限制客户端在获取访问令牌时请求的范围，您可以设置 security.oauth2.client.scope （逗号分隔或YAML的数组）。

默认情况下，作用域为空，它由授权服务决定默认值应该是什么，通常取决于它保存的客户端注册中的设置。

上面的例子都是Groovy脚本。如果要在Java（或Groovy）中编写相同的代码，则需要将Spring Security OAuth2添加到类路径（例如，参见此处的示例）。

OAuth2受保护资源

您想使用OAuth2令牌保护API资源？这里有一个简单的例子（与上面客户端配对）：

app.groovy

@Grab('spring-cloud-starter-security')
@RestController
@EnableOAuth2Resource
class Application {

  @RequestMapping('/')
  def home() {
    [message: 'Hello World']
  }
}

和

application.yml

security:
  oauth2:
    resource:
      userInfoUri: https://api.github.com/user
      preferTokenInfo: false