OAuth协议简介，spring secial简介

1.OAuth协议要解决的问题

image.png image.png

2.OAuth协议中的各种角色
①服务提供商provider:在我们的举例中是指微信，提供令牌token
②资源所有者resource owner:在我们的举例中是指用户，自拍图片的所有者是用户，用户把自拍数据放在微信保管
③第三方应用client:在我们的举例中是指慕课微信助手，他的目的是访问微信上用户的自拍数据，把微信的用户变成自己的
在服务提供商内部有两个角色：
1).认证服务器Authorization Server:认证用户的身份并且产生令牌token
2).资源服务器resource Server:保存用户资源，验证令牌。发请求发到这里验证token,这两个服务器可以是一台服务器一个应用。

image.png

3.OAuth协议的运行流程

image.png
介绍授权码模式：
image.png
特点：用户同意授权的动作实在认证服务器上完成的，其他模式都是在第三方应用完成的。
同意授权后返回的是授权码，第三方应用需要再发送一个携带授权码的请求再申请令牌token

spring social基本原理就是授权协议，授权码模式访问用户基本信息，用这个基本信息构建第三方应用的Authentication并放入SecurityContent中，也就是使用第三方信息进行登录。

image.png image.png image.png

①service provider接口：服务提供商，针对每一个服务提供商，例如qq、微信、微博都需要提供一个这个接口的实现，spring social提供了一个叫做AbstractOAuth2ServiceProvider的抽象类，帮我们实现了一些共有的东西，我们假如写qq登录就继承这个抽象类就可以了。
上面图片中1到5步骤都是标准流程，第六步因为每个服务提供商的头像、昵称字段都是不一样的，所以是一个个性化流程。
②OAuth2Operations封装了1-5步骤标准流程，是OAuth2协议的操作。spring social提供了一个实现类是OAuth2Template帮助我们完成OAuth2协议的执行流程
③api接口：针对第六步获取用户信息需要自己实现一个接口实现第六步的行为，spring social帮我们实现了一个叫做AbstractOAuth2ApiBinding的抽象类完成第六步的实现。
④第七部就和服务提供商没关系了，Connection接口：作用是封装前六步获取到的用户信息，用到的实现类是OAuth2Connection.
⑤Connection是由一个叫做ConnectionFactory的连接工厂创建出来的，用到的类叫做OAuth2ConnectionFactory这个工厂负责创建包含用户信息的对象，所以整个右边服务提供商的东西是封装起来放到OAuth2ConnectionFactory里面的。
在我们的代码中去调用OAuth2ConnectionFactory用它里面的service provider来走6步信息获取用户信息，把用户信息封装成一个Connection,Connection是一个固定的数据结构，如何把各个服务提供商不同的数据结构转成标准的数据结构，用下面的ApiAdapter这样一个接口的实现完成的，自己的业务系统的用户和服务提供商的用户怎么对应起来的？是一个数据库表叫做db_user_connection来完成对应的。
⑥UsersConnectionRepository来操作上面这张业务系统用户和服务商用户对应的表db_user_connection,实现类是JdbcUsersConnectionRepository针对这张表增删改查。

实现过程：需要先写一个qq接口获取qq用户信息，在qq接口的实现类qqImpl中继承AbstractOAuth2ApiBinding,AbstractOAuth2ApiBinding里面有两个属性，

image.png
accessToken：是1-5步获取的令牌
restTemplate：是获取到令牌后，携带令牌申请用户信息的url请求。
查看qq互联文档：api列表get_user_info
https://wiki.connect.qq.com/openapi%E8%B0%83%E7%94%A8%E8%AF%B4%E6%98%8E_oauth2-0 image.png
第一个参数：access_token，是1-5步得到的令牌，存储在父类AbstractOAuth2ApiBinding中的accessToken
第二个参数：oauth_consumer_key，申请QQ登录成功后，分配给应用的appid
第三个参数：openid: 用户的ID，与QQ号码一一对应。
可通过调用https://graph.qq.com/oauth2.0/me?access_token=YOUR_ACCESS_TOKEN 来获取。

这样api,也就是AbstractOAuth2ApiBinding部分就写好了，OAuth2Operations用默认的实现类OAuth2Template
/**
 * 获取qq用户信息接口的实现类，需要继承自AbstractOAuth2ApiBinding
 */
public class QQImpl extends AbstractOAuth2ApiBinding implements QQ {

    /**
     * 获取用户信息的url其中文档里的accessToken交给父类处理，这里直接去掉
     */
    private static final String URL_GET_USERINFO = "https://graph.qq.com/user/get_user_info?oauth_consumer_key=%s&openid=%s";

    /**
     * 获取openid的url
     */
    private static final String URL_GET_OPENID = "https://graph.qq.com/oauth2.0/me?access_token=%s";

    /**
     * 第一个参数accessToken在父类中
     * 第二个参数：appid 申请QQ登录成功后，分配给应用的appid
     */
    private String appid;

    /**
     * 第三个参数：openid
     * 用户的ID，与QQ号码一一对应。
     * 可通过调用https://graph.qq.com/oauth2.0/me?access_token=YOUR_ACCESS_TOKEN 来获取
     */
    private String openid;

    /**
     * 把返回结果转成规定对象的工具类
     */
    private ObjectMapper objectMapper = new ObjectMapper();


    /**
     * 构造函数
     * @param accessToken
     * @param appid
     */
    public QQImpl(String accessToken, String appid){
        /**
         * 调用父类这个构造方法使用的这个策略是把accessToken作为请求参数，而不是放进请求头header中
         */
        super(accessToken, TokenStrategy.ACCESS_TOKEN_PARAMETER);
        this.appid = appid;

        String url = String.format(URL_GET_OPENID, accessToken);
        String result = getRestTemplate().getForObject(url, String.class);

        //TODO 这个写法只是为了快速取出openid之后还要经过重构的。
        this.openid = StringUtils.substringBetween(result, "\"openid\"", "}");

    }

    /**
     * 获取用户信息
     * @return
     * @throws IOException
     */
    @Override
    public QQUserInfo getQQUserInfo() throws IOException {

        String url = String.format(URL_GET_USERINFO, appid, openid);

        String result = getRestTemplate().getForObject(url, String.class);


        return objectMapper.readValue(result, QQUserInfo.class);
    }
}

这样api,也就是AbstractOAuth2ApiBinding部分就写好了，OAuth2Operations用默认的实现类OAuth2Template，
接下来就可以声明ServiceProvider这个接口的实现了。

/**
 * 这个抽象接口有一个泛型，泛型是我们的api的接口类型QQ
 */
public class QQServiceProvider extends AbstractOAuth2ServiceProvider<QQ> {

    private String appId;

    private static final String URL_AUTHORIZE = "https://graph.qq.com/oauth2.0/authorize";

    private static final String URL_ACCESS_TOKEN = "https://graph.qq.com/oauth2.0/token";

    /**
     * Create a new {@link OAuth2ServiceProvider}.使用spring social提供的OAuth2Template()
     * 需要四个参数：
     * @clientId 就是注册应用时候qq给的appid
     * @clientSecret 就是注册应用时候qq给的appSecret
     * @authorizeUrl 就是授权码步骤一，将用户导向认证服务器的地址
     * @accessTokenUrl 就是授权码步骤四，申请令牌的地址
     * 具体这两个地址是什么看https://wiki.connect.qq.com
     *
     */
    public QQServiceProvider(String appId, String appSecret) {
        super(new OAuth2Template(appId, appSecret, URL_AUTHORIZE, URL_ACCESS_TOKEN));
    }

    @Override
    public QQ getApi(String accessToken) {
        return new QQImpl(accessToken, appId);
    }
}

处理流程：

image.png

SocialAuthenticationService执行整个OAuth2的流程,在执行的过程中调用ConnectionFactory,拿到其中的seviceProvider服务提供商的用户信息，封装到Connection里，然后Connection会被封装成一个SocialAuthenticationToken,交给AuthenticationManager,挑选一个符合的这里是SocialAuthenticationProvider处理，
会根据传进来的服务提供商的用户信息使用JdbcUsersConnectionRepository去数据库
查询USerid,用这个用户id去调用SocialUserDetailsService,查出用户信息SocialUserDetails放到SocialAuthenticationToken中，标记为已认证，放到securityContext里，最终放进session里。