深入挖掘oauth2分析一

在讲到oauth2的时候，我们都知道它是安全认证的一种实现方式，下面先给小白讲解下基础知识

概念描述：

· resource owner: 
  --------------------- 
 资源所有者，对资源具有授权能力的人，一般指用户。

· resource server:
---------------------
资源服务器，它存储资源，并处理对资源的访问请求。如Google资源服务器。

· Client:
 --------------------- 
第三方应用，它获得RO的授权后便可以去访问RO的资源。如网易印像服务。

·authorization server:
 --------------------- 
授权服务器，它认证resource owner（RO）的身份，为RO提供授权审批流程，并最终颁发授权令牌(Access Token)。AS与RS的功能可以由同一个服务器来提供服务，也可以支持多资源服务器，多认证服务需要nginx。
 

**优势：**
**1.使用于第三方授权模式，第三方不需要授权方的账户信息，认证授权通过**

**2.可适用于所有服务应用，可更新，检查**

**3.支持多种模式：密码授权，认证码授权，jks文件授权（公钥授权）**

**劣势：**

**1.所有需要认证的请求都需要身份授权判断，增加了每个接口的实际时间消耗**

**2.官方文档说明有点乱,oauth2和secruity,oauth2和oauth1区别很多大,很多需要区分开**

**3.返回参数基本都是英文，需要对所有返回信息处理**

第二条劣势特别注意（实际项目中可能会难住你）。类如oauth2的认证异常OAauth2Exception：（主要是源码定义的几种异常）**

 
|错误码(error)|错误编号(error_code)|错误描述(error_description)|
|:----    |:---|:----- |
|redirect_uri_mismatch|    21322|    重定向地址不匹配|
|invalid_request|    21323|    请求不合法|
|invalid_client|    21324|    client_id或client_secret参数无效|
|invalid_grant|    21325|    提供的Access Grant是无效的、过期的或已撤销的|
|unauthorized_client|    21326|    客户端没有权限|
|expired_token|    21327|    token过期|
|unsupported_grant_type|    21328|    不支持的 GrantType|
|unsupported_response_type|    21329|    不支持的 ResponseType|
|access_denied|    21330|    用户或授权服务器拒绝授予数据访问权限|
|temporarily_unavailable|    21331|    服务暂时无法访问|

与springSecurity的AuthenticationException异常

UsernameNotFoundException 用户找不到

BadCredentialsException 坏的凭据

AccountStatusException 用户状态异常它包含如下子类

AccountExpiredException 账户过期

LockedException账户锁定

DisabledException 账户不可用

CredentialsExpiredException 证书过期

总之比较混乱（不知道是不是自己理解的步深刻的原因）

说了这么多，还是正题教大家学习oauth2把，源码地址

https://github.com/spring-projects/spring-security-oauth

读取readme文件，通过百度翻译（本人英语不佳，深感惭愧）

我们知道已经有1个tonr2的官方样例，并且主readme建议我们去读样例的readme文件

翻译子readme中文得

有两个web应用程序，一个（sparklr）是提供商或OAuth服务（即可以提供授权又可以提供资源），另一个（tonr）是服务的消费者。tonr应用程序还能够消耗外部资源（例如Facebook），sparklr是一个照片存储和浏览服务，tonr需要获取访问照片的许可来实现打印这些照片的功能，上面的基础概念知识掌握了（还要英语好点），基本就是进入节奏了