Spring Security OAuth2认证JWT认证-开发笔记

1.描述：

以下请求中，clientId和clientSecret是前端固定的，后端中生成token需要获取比对校验。

2.疑问：

clientId和clientSecret是哪里来的？

http://localhost:8080/userApi/uauthentication/unified/login
{
	"clientId": "XXXXX",
	"clientSecret": "XXXXX",
	"username": "[email protected]",
	"password": "y8IskDfgcJmiC76b3MnhlA==",
	"_t": 1650770934
}

@PostMapping("/unified/login")
    public R login(HttpServletRequest request, @RequestBody EntUserDTO entUserDTO) throws Exception {

        log.info("账号密码登录:/login入参:{}", JSON.toJSONString(entUserDTO));

        R r = signinService.parameterCheck(entUserDTO);
        if(r.getCode() != R.SUCCESS){
            return r;
        }
        UserVO data = r.getData();
        //获取token
        String token = signinService.getToken(request, entUserDTO);
        HashMap map = new HashMap<>();
        map.put("token",token);
        map.put("userId",data.getUserId());

        userService.updateUserLastLoginTime(data.getUserId());
        return new R(map);

    }

 3.四种授权模式

 

• Authorization Code（授权码模式）：正宗的OAuth2的授权模式，客户端先将用户导向认证服务器，登录后获取授权码，然后进行授权，最后根据授权码获取访问令牌；
• Implicit（简化模式）：和授权码模式相比，取消了获取授权码的过程，直接获取访问令牌；
• Resource Owner Password Credentials（密码模式）：客户端直接向用户获取用户名和密码，之后向认证服务器获取访问令牌；
• Client Credentials（客户端模式）：客户端直接通过客户端认证（比如client_id和client_secret）从认证服务器获取访问令牌

 4.疑惑解决

• 使用密码请求该地址获取访问令牌：http://localhost:10001/oauth/token

• 使用Basic认证通过client_id和client_secret构造一个Authorization头信息；

 参考文章：

Spring Security（二）OAuth2认证详解_追兔子的乌龟的博客-CSDN博客_spring-security-oauth2-jose