2018-05-08老师,lab太简单了吧,重复说生产环境不这样做,那我花时间上实战课有什么用呢,只是辅助理解概念的demo,希望老师后期上些真正的实战课程,而不是概念demo演示课程。作者回复: 嗯,理解了OAuth2的原理,还有spring security oauth2的基本用法,就能进行生产级研发和布署。企业生产做法很复杂,而且有些做法也不是通用标准做法,各家玩法五花八门,OAuth2则是业界沉淀下来的标准规范。课程后继有部分生产级微服安全架构和实践相关内容,还会介绍一些生产级的开源产品。另外后继作者还会推出一些授权认证相关的生产级实践的文章,会给你更新。谢谢你的反馈🌹
1 39
2018-05-13希望老师能讲解真实的生产环境的做法,我们需要您生产环境的经验,这样才能让我们觉得这个课程是值得学习的作者回复: 嗯,理解了OAuth2的原理,还有spring security oauth2的基本用法,就能进行生产级研发和布署。企业生产做法很复杂,而且有些做法也不是通用标准做法,各家玩法五花八门,OAuth2则是业界沉淀下来的标准规范。课程后继有部分生产级微服安全架构和实践相关内容,还会介绍一些生产级的开源产品。另外后继作者还会推出一些授权认证相关的生产级实践的文章,会给你更新。谢谢你的反馈🌹
11
2018-05-17开发后台不是用Java的怎么整? 如果是实验不应该根据原理从零开始搭建吗?或者就讲生产实践经验。 现在这样的实验模拟就是针对作者写的代码的一个文档说明,真没啥收获。作者回复: 嗯,本课是先基于spring cloud oauth,用简单实验讲解原理,课程后面会介绍一些生产级开源产品,有其它语言的。当然你的建议很好,我后面准备推出如何从零构建授权服务器的文章,会给你更新。
1 4
2018-05-20有两个建议
1.老师的讲解速度稍微缓慢一点
2.老师可以直接分享和线上环境直接有关的知识,如果只是demo,也很难去理解实际中应用场景作者回复: 谢谢建议,问题1已经反馈极客时间,问题2中demo主要考虑一些入门级学习者,后继在综合案例部分还会增加实战内容,另外还会陆续推出实战文章。
2
2018-09-15请问资源服务器是如何验证tocken的?作者回复: 在这个实验中,授权服务器和资源服务器住在一起,授权服务器使用内存模式,那么资源服务器也是使用内存去比对校验令牌的。如果两者不住在一起,使用数据库存储,那么资源服务器可以去数据库比对校验令牌,也可以通过授权服务器提供的校验端点比对校验令牌。
1- 2018-06-10spring securtity默认有个登陆验证页面,但如果这个请求授权码的是从服务器端直接发起,不希望有这个登陆验证,波波,请问是在哪里配置?
作者回复: 机器对机器,使用客户端凭证模式,不经过登陆验页,客户端直接通过提供clientid+secret获取令牌
1 
2020-01-14请问,几种模式下,在统一认证中心都需要配置.redirectUris吗?如何不配置这个也可以呢?
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("admin-web")
.secret(passwordEncoder.encode("admin-web-123"))
.accessTokenValiditySeconds(3600)
.refreshTokenValiditySeconds(864000)//配置刷新token的有效期
.autoApprove(true) //自动授权配置
.scopes("all")//配置申请的权限范围
.authorizedGrantTypes("password", "refresh_token")//配置授权模式:密码模式
//.redirectUris("http://localhost:2001/login")//授权码模式开启后必须指定
.and()
.withClient("order-service")
.secret(passwordEncoder.encode("order-service-123"))
.accessTokenValiditySeconds(3600)
.refreshTokenValiditySeconds(864000)//配置刷新token的有效期
.autoApprove(true) //自动授权配置
.scopes("all")
//.authorizedGrantTypes("authorization_code", "password", "refresh_token")//配置授权模式:authorization_code授权码模式、密码模式
.authorizedGrantTypes("password", "refresh_token")//配置授权模式:密码模式
//.redirectUris("http://localhost:2003/login")//授权码模式开启后必须指定
;
}
我的配置是这样的,但是一旦注释掉//redirectUris这行,则会报错:
error="invalid_grant", error_description="A redirect_uri can only be used by implicit or authorization_code grant types."展开作者回复: 这个错误是说:redirect_uri只适用于简化和授权码模式,如果你用用户名/密码模式,则不需要redirect_uri。
关于oauth2的协议参数需求,可以看官方RFC6749文档:https://tools.ietf.org/html/rfc6749#section-4
2019-09-06老师好,我用的是授权码模式,获取授权code成功,按照步骤在postman用code换取token报错,{"timestamp":1567759824315,"status":401,"error":"Unauthorized","message":"Bad credentials","path":"/oauth2/token"},操作都是按照说明来的作者回复: 获取令牌操作需要带上正确的clientId/secret,使用http用户名密法方式认证,
curl -X POST --user clientapp:112233 ...
请确认,而且和服务器端设置匹配一致。
2019-07-24老师好,为什么我这边按照你的步骤调用最后返回的是
{
"error": "invalid_grant",
"error_description": "Redirect URI mismatch."
},作者回复: 这个错误提示你请求传过去的redirect uri和服务器端配置的uri不一致,看看是否配置错了。
2019-06-05自己尝试试验,第一步访问`/oauth/authorize`端点报错 InsufficientAuthenticationException;搜了一圈还是没能解决,有人遇到过类似情况吗?(spring boot版本 2.1.5.RELEASE)
```
org.springframework.security.authentication.InsufficientAuthenticationException: User must be authenticated with Spring Security before authorization can be completed.
at org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint.authorize(AuthorizationEndpoint.java:143) ~[spring-security-oauth2-2.3.4.RELEASE.jar:na]
```展开作者回复: 提示用户认证没有成功,获取授权码前必须经过用户认证的,你看看这步是否正确,用户名密码配置是否有误,输入是否正确。
- 2019-05-30github代码太难下了,我转移到gitee上了,大家可以下载
https://gitee.com/poet/oauth2lab作者回复: 谢谢你的好心支持!赞一个!
2019-05-15波波老师您好,因为之前一直对几个redict_url参数有疑惑,我使用spring boot 2.1.4进行了实验。
实验发现 /oauth/authorize 端点并不需要传入redict_url参数,此时的回调地址调用的是在客户端信息数据源中配置的redirectUri。而只有拿着授权码去/oauth/token端点去请求token时才需要该参数,此时该参数用于和数据源中配置的客户端的redirectUri进行匹配。不知在老师使用的boot版本中该参数是必须的吗?作者回复: 你好,第一次是optional可选,第二次是required必须,spring security oauth2只是RFC6749规范的实现,具体以RFC6749官方文档为准,参考4.1.1节:https://tools.ietf.org/html/rfc6749#section-4.1.1
2019-03-06一直没有明白为什么一定要设置回调接口呢,同步调用拿到授权码不就可以?作者回复: 因为这个授权码最终是要通过客户应用(一般是WebApp)去和授权服务器交互,才能最终获得令牌,注意这里不是通过浏览器直接和授权服务器交互,而是必须通过客户应用,因为只有客户应用它能存储clientid才有资格,浏览器只是中介实现一个302跳转
2019-01-25老师,多讲讲生产环境的实际运用,如果各家五花八门的话,可以挑一些中小型企业的一般做法,这样学习起来才敢在自己的项目中使用。作者回复: 你好,谢谢你的建议!本次课程专注微服务八大核心组件,以模块化方式讲解,突出架构原理和实践。我后续还会推出微服务架构生产实践案例,不仅有微服务应用的架构和设计,同时结合k8s部署实践,敬请关注。
- 2018-12-18老师可不可以讲解一下怎么将zuul网关配置为资源服务器,然后调用链下游的微服务就不必配置为资源服务器了吧
作者回复: zuul网关可以做集中令牌校验,可通过filter实现,具体可参考课程最后一个模块综合案例部分,网关集中验令牌之后,可向后传递用户信息(例如通过http header),下游服务可直接获取用户信息,不必再去集中验令牌
2018-12-12老师,获取的Token万一通过抓包的方式或者别的方式获取到了,岂不是没有安全性了?作者回复: 一般令牌需走https,且令牌可根据安全场景需求设定有效期,也可吊销,除普通令牌,另还有更安全的PoP(proof of possession)令牌,能验证拥有者身体,可用在安全严格场景。
2018-12-12dubbo的二进制协议做 oauth的授权服务器, 需要把oauth的http通信协议改成二进制协议嚒? 授权服务器单独部署的情况;作者回复: oauth有官方规范定义(rfc6749),规范中定义的端点是http(s)的,建议遵循规范保持互操作性。
2018-12-08老师,你好,我想做一个类型微信公众平台那样的,api开放鉴权。我可以怎么做?就是不希望跳转到那个登陆页,希望一个appId+appsecret就完成授权,然后换取accessToken。有没有相关的博客或者资料推荐?作者回复: 不跳转的可考虑采用用户名密码模式,我课程的最后一个模块《综合案例分析》会讲这种模式实现(12月马上上线),可留意,如还有疑问,可加我微信(bulldog2015)沟通。
2018-11-21老师您好,针对授权码模式 spring应该是帮我们封装了 login功能,授权以及授权信息生成功能,还有授权后的页面跳转功能,这一部分的细节能简单说一下嘛,比如 接收到code请求后会重定向到login,login成功后继续处理code请求,这几步是如何串起来的作者回复: spring security oauth2的确被封装过于复杂,很多学员反应无法完全理解这些oauth2流程,所以下个模块我会讲解如何实现一个oauth2授权认证服务器,包括代码剖析,帮助大家理清这些流程及实现方式,请关注下个第八模块视频课程。
- 2018-11-19http://localhost:8080/oauth/authorize? 为什么这个IP地址后面带的是/oauth/authorize这个呢?
作者回复: 这个是oauth2规范的获取授权码端点