绝妙的比喻:去参加一场大型音乐节
想象一下,你要去参加一个大型音乐节,里面有多个舞台(普通区、VIP区、后台)。
-
OAuth 2.0:购票和入场的规则流程
- 是什么:这是整个音乐节的官方规则和流程。它规定了:
- 你应该去官方售票处(授权服务器)买票。
- 你需要出示你的身份证(用户名/密码)来证明你是本人。
- 售票处验证你的身份后,不会把你的身份证原件给你戴在手上,而是会给你一个腕带(访问令牌/Access Token)。
- 这个流程(先验证身份,再发腕带)就是 OAuth 2.0 授权流程(例如授权码模式)。
- 它的角色:一个协议,一个标准化的流程。它只关心“如何安全地授权并颁发凭证(腕带)”,但它并不关心腕带本身长什么样。腕带可以是纸质的、硅胶的,甚至是一个隐形印章。
- 是什么:这是整个音乐节的官方规则和流程。它规定了:
-
JWT (JSON Web Token):那个高科技腕带
- 是什么:这是音乐节主办方选择的一种腕带的具体形式。这个腕带非常高级:
- 它上面用特殊墨水(JSON格式)印着你的信息:
{"区域": "VIP", "有效期": "22:00"}。 - 它有一个无法伪造的防伪锁扣(签名/Signature)。任何人都可以看到上面的信息,但无法篡改,一旦篡改,锁扣就会损坏。
- 它上面用特殊墨水(JSON格式)印着你的信息:
- 它的角色:一个数据格式,一个凭证本身。它是一种实现“访问令牌”的流行方式,因为它是自包含的(Self-Contained)。安保人员拿到它,不需要再去售票处查你的信息,直接看腕带就知道你能不能进VIP区。
- 是什么:这是音乐节主办方选择的一种腕带的具体形式。这个腕带非常高级:
-
Spring Security:音乐节的安保团队
- 是什么:这是负责执行音乐节规则的整个安保系统。
- 入口处的安保(OAuth Client):他们指导你去正确的售票处,并确保你按照官方流程拿到腕带。这就是
spring-boot-starter-oauth2-client的工作。 - 各个舞台的保安(Resource Server):他们守在VIP区、后台等入口。当你想进入时,他们会检查你的腕带。他们懂得如何识别 JWT 这种高科技腕带:他们有特殊的验钞灯(公钥)来验证那个防伪锁扣(签名)是不是真的,然后读取腕带上的信息(
"区域": "VIP"),最后决定是否放你进去。这就是spring-boot-starter-oauth2-resource-server的工作。
- 入口处的安保(OAuth Client):他们指导你去正确的售票处,并确保你按照官方流程拿到腕带。这就是
- 它的角色:一个实现框架,一个执行者。它把 OAuth 2.0 这个“规则”和 JWT 这个“凭证”在你的应用程序中落地实现。它就是那个既懂得流程,又懂得如何验证凭证的强大工具。
- 是什么:这是负责执行音乐节规则的整个安保系统。
技术关系拆解
现在我们把比喻换成技术术语。
| 概念 | 角色 | 作用 |
|---|---|---|
| OAuth 2.0 | 授权协议 (Authorization Protocol) | 定义了一套授权流程。它规定了客户端(Client)如何从授权服务器(Authorization Server)那里,在获得资源所有者(User)的同意后,安全地获取一个“访问令牌”(Access Token)。它主要解决**“授权”**问题。 |
| JWT | 令牌格式 (Token Format) | 定义了一种数据结构,用于在各方之间安全地传递信息(称为 Claims)。由于其自包含和可验证签名的特性,它非常适合用作 OAuth 2.0 流程中的 Access Token。 |
| Spring Security | 安全框架 (Security Framework) | 提供了一套工具和实现。它帮助你在 Spring 应用中轻松地扮演 OAuth 2.0 中的不同角色(客户端、资源服务器),并内置了解析和验证 JWT 的能力。 |
它们如何协同工作:一个完整的流程
假设一个用户想用 “Google 账户” 登录你的网站 (my-awesome-app.com),并允许你的网站访问其基本信息。
-
流程启动 (Spring Security - Client)
- 用户点击 “Login with Google”。
- 你的应用(一个 OAuth 2.0 客户端),使用 Spring Security 的
oauth2-client模块,启动 OAuth 2.0 的授权码流程。它将用户重定向到 Google 的授权服务器。
-
授权与令牌颁发 (OAuth 2.0 & JWT)
- 用户在 Google 页面登录并同意授权。
- Google(授权服务器)遵循 OAuth 2.0 协议,将一个授权码返回给你的应用。
- 你的应用后端再用这个授权码,向 Google 请求访问令牌。
- Google 验证通过后,颁发一个 Access Token。Google 决定将这个 Access Token 制作成 JWT 格式。这个 JWT 里可能包含了用户ID (
sub)、权限范围 (scope)、过期时间 (exp) 等信息,并用 Google 的私钥进行了签名。
-
访问受保护资源 (Spring Security - Resource Server)
- 现在,你的网站前端需要调用你自己的后端 API(例如
/api/user/profile)来获取用户数据。 - 前端会将从 Google 获取的那个 JWT 放在请求的
Authorization: Bearer <jwt>头中,发送给你的后端 API。 - 你的后端 API 是一个 OAuth 2.0 资源服务器,它使用 Spring Security 的
oauth2-resource-server模块进行保护。
- 现在,你的网站前端需要调用你自己的后端 API(例如
-
验证与放行 (Spring Security & JWT)
- Spring Security 拦截到这个请求,提取出 JWT。
- 它自动地(因为你配置了
issuer-uri)从 Google 获取公钥,用来验证 JWT 的签名,确保它没被篡改过。 - 它检查 JWT 的声明 (Claims),如
exp(是否过期)、iss(签发者是否是 Google)。 - 验证通过后,Spring Security 将 JWT 中的信息(如
scope)解析成权限,然后根据你设定的安全规则(例如hasAuthority('SCOPE_profile')),判断该请求是否有权访问/api/user/profile。 - 如果一切 OK,请求被放行到你的 Controller。
总结与关键要点
- OAuth 2.0 是“规则”:它定义了获取令牌的舞蹈步骤。
- JWT 是“门票”:它是令牌的一种具体、流行的、自包含的格式。
- Spring Security 是“执行者”:它是在你的应用中实现这套规则、并能读懂这张门票的强大工具。
一个非常重要的误解需要澄清: OAuth 2.0 ≠ JWT。OAuth 2.0 协议本身并不强制要求 Access Token 必须是 JWT。令牌也可以是一个普通的、无意义的字符串(称为 Opaque Token,不透明令牌)。在这种情况下,资源服务器每次收到令牌时,都必须去问授权服务器:“这个令牌有效吗?它有什么权限?”。而使用 JWT 的好处是,资源服务器可以自己验证令牌,无需频繁与授权服务器通信,实现了服务的解耦和性能的提升。现代架构中,JWT 已成为 OAuth 2.0 的事实标准。
Last updated on