Spring Security 实战干货：OAuth2登录获取Token的核心逻辑

痛定思痛。 2023-09-24 08:05 14阅读 0赞

![watermark,size\_16,text\_QDUxQ1RP5Y2a5a6i,color\_FFFFFF,t\_100,g\_se,x\_10,y\_10,shadow\_90,type\_ZmFuZ3poZW5naGVpdGk=][watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk]

在上一篇Spring Security 实战干货：OAuth2 授权回调的核心认证流程中，我们讲了当第三方同意授权后会调用发送回执给我们的服务器。我们的服务器拿到一个中间授信凭据会再次进行认证，目的是为了获取Token。而这个逻辑由负责，经过上一文的分析后我们发现获取Token的具体逻辑由来完成，今天就把它的流程搞清楚，来看看Spring Security OAuth2 认证授权获取Token的具体步骤。

注意：本Spring Security干货系列教程的 OAuth2 相关部分是在Spring Security 5.x版本的。

该类是针对OAuth 2.0中Authorization Code Grant模式的实现。关于有必要简单强调一下，它已经多次在Spring Security 干货系列中出现，十分重要！一定要去看看相关的分析和使用，它是你根据业务扩展认证方式渠道的重要入口。

在该实现中包含了一个成员变量，它抽象了通过端点从认证服务器获取Token的细节。你可以根据OAuth 2.0常用的四种模式来进行实现它， 以达到根据不同的策略来获取Token的能力。

在Spring Security 5中OAuth 2.0登录的配置中默认使用。如果你想使用自定义实现的话可以通过来配置：

接下来我们看看实现的获取Token的逻辑：

这里的方式跟我另一个开源项目Payment Spring Boot的请求方式异曲同工，都是三个步骤：

组织参数。

发起请求。

解析组织返回值。

如果有些的OAuth 2.0认证服务器获取Token的方式比较特殊你可以自行实现。

是的核心要点。搞清楚它的作用和机制就可以了。这里我们总结一下的认证过程：

检测未授信的状态是否合法。

通过请求OAuth 2.0认证服务器获取Token等信息。

组装认证过的授信返回。

到此OAuth 2.0的登录流程就搞清楚了，读者可通过系列文章进行学习批判。

[watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk]: https://img-blog.csdnimg.cn/img_convert/e780ebd549fed9e2dba2a9b1885cd1c3.jpeg
[watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk 1]: https://img-blog.csdnimg.cn/img_convert/4f7232d60d414fccea39ac443a4a7c44.png
[watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk 2]: https://img-blog.csdnimg.cn/img_convert/07497696afd6053194768202e451be94.jpeg