Java编程中OAuth20客户端凭据授权.pdfVIP

Java 编程中的 OAuth 2.0 客户端凭据授权 概述 OA ut h 是一个开放的授权标准 ，允许客户端代表一个资源所有者获得对受保护 务器资源 的访问权限。资源所有者可以是另一个客户端或最终用户。OA ut h 还可以帮助最终用户将对其 务器资源的访问权限授权给第三方 ，而不必共享其凭据 ，比如用户名和密码。本系列文章遵从 RFC674 9 中列出的 OA ut h 2.0 授权框架。可以在 Int ernet Engineering Task Fo rce 的网站上 找到 RFC 674 9 中列出的完整 OA ut h 2.0 授权框架 （请参阅 ）。 授权批准 授权批准是一种凭据 ，可代表资源所有者用来获得访问受保护资源的访问权。客户端使用此 凭据获取访问令牌 ，而且此访问令牌最终将与请求一起发送 ，以便访问受保护资源。OA ut h 2.0 定义了四种授权类型 ： . 授权码 2. 隐式 3. 资源所有者密码凭据 4 . 客户端凭据 这个文章系列由四个部分组成 ，将引导您使用上面列出的每种授权类型在 Java™ 编程中实现 OA ut h 2.0 客户端。在第 2 部分中 ，我将解释如何实现客户端凭据授权。本文将详细介绍这种 授权 ，并解释示例客户端代码 ，此代码可用于兼容 OA ut h 2.0 的任何 务器接口 ，以便支持这种 授权。在本文的最后 ，您应该对客户端实现有了全面的了解 ，并准备好下载示例客户端代码 ，自 己进行测试。 客户端凭据授权 在此授权中 ，机密客户端可以只使用其客户端凭据 （或其他可支持的身份验证方法 ，比如 公钥/私钥对 ）从授权 务器请求一个访问令牌。假设客户端在请求访问在其自身控制下的受保护 资源 （客户端是资源所有者 ）。 图 中所示的流程包括以下步骤 ： (A ) OA ut h 2.0 客户端使用其客户端凭据和授权 务器进行身份验证 ，并从令牌端点请求访 问令牌 (B) 授权 务器对 OA ut h 2.0 客户端进行身份验证 ，并验证客户端凭据 ，如果凭据是有效的 ，那么授权 务器将会颁发一个访问令牌。 图 . 客户端凭据流 更多精彩攻略访问 1 访问令牌请求 对应于步骤 A 的访问令牌请求如 图 所示。 客户端对令牌端点 （授权 务器 ）发出请求 ，采用applicat io n/x-www-f o rm-urlencoded格式 发送以下参数。 ·grant_t ype ：必选项。该值必须设置为 client_credent ials ·client_id ：必选项。客户端 ID。 ·client_secret ：必选项。客户端密钥/密码。 ·sco pe ：可选项。访问请求的范围 因为客户端身份验证被用作授权批准 ，所以不需要额外的授权。例如 ，客户端利用传输层安 全性发出下列 HT T P 请求 ： 清单 . 客户端 HT T P 请求 PO ST /t o ken HT T P/ . Host : server.example.co m A ut ho rizat io n:Basic czZ CaGRSa3F0Mz pnW DFmQ mF0M2JW Co nt ent -Type: applicat io n/x-www-f o rm-urlencoded grant_t ype=client_credent ialsclient_id=myA ppclient_secret =ab32vr 访问令牌响应 对应于步骤 B的访问令牌响应该如 图 所示。如果访问令牌请求是有效的 ，而且获得了授权 ，那么授权 务器将会返回访问令牌。成功的响应如 清单 2 所示。 清单 2. 访问令牌响应 HT T P/ . 200 O K Co nt ent -Type: applicat io n/jso n;charset =UT F-8 Cache-Co nt ro l: no-st o re Pragma: no-cache {