81. Quickstart

81.1 OAuth2 单点登录

这是具有 HTTP Basic 身份验证和单个用户帐户的 Spring Cloud“ Hello World”应用程序:

app.groovy.

@Grab('spring-boot-starter-security')
@Controller
class Application {

  @RequestMapping('/')
  String home() {
    'Hello World'
  }

}

您可以使用spring run app.groovy来运行它,并在日志中查看密码(用户名是“ user”)。到目前为止,这只是 Spring Boot 应用程序的默认设置。

这是带有 OAuth2 SSO 的 Spring Cloud 应用程序:

app.groovy.

@Controller
@EnableOAuth2Sso
class Application {

  @RequestMapping('/')
  String home() {
    'Hello World'
  }

}

指出不同?该应用程序实际上将与上一个应用程序完全相同,因为它尚不知道它是 OAuth2 信用凭证。

您可以很容易地在 github 中注册一个应用程序,因此如果您想在自己的域上使用生产应用程序,请尝试使用该应用程序。如果您愿意在 localhost:8080 上进行测试,请在应用程序配置中设置以下属性:

application.yml.

security:
  oauth2:
    client:
      clientId: bd1c0a783ccdd1c9b9e4
      clientSecret: 1a9030fbca47a5b2c28e92f19050bb77824b5ad1
      accessTokenUri: https://github.com/login/oauth/access_token
      userAuthorizationUri: https://github.com/login/oauth/authorize
      clientAuthenticationScheme: form
    resource:
      userInfoUri: https://api.github.com/user
      preferTokenInfo: false

运行上面的应用程序,它将重定向到 github 进行授权。如果您已经登录 github,您甚至不会注意到它已通过身份验证。仅当您的应用程序在端口 8080 上运行时,这些凭据才有效。

要限制 Client 端获得访问令牌时要求的范围,可以设置security.oauth2.client.scope(逗号分隔或 YAML 中的数组)。默认情况下,作用域为空,并且由授权服务器决定默认值是什么,通常取决于它所拥有的 Client 端注册中的设置。

Note

上面的示例都是 Groovy 脚本。如果要使用 Java(或 Groovy)编写相同的代码,则需要将 Spring Security OAuth2 添加到 Classpath(例如,参见sample here)。

81.2 OAuth2 受保护的资源

您想使用 OAuth2 令牌保护 API 资源吗?这是一个简单的示例(与上面的 Client 端配对):

app.groovy.

@Grab('spring-cloud-starter-security')
@RestController
@EnableResourceServer
class Application {

  @RequestMapping('/')
  def home() {
    [message: 'Hello World']
  }

}

and

application.yml.

security:
  oauth2:
    resource:
      userInfoUri: https://api.github.com/user
      preferTokenInfo: false