官方有sql语句,但是没有详细的对每个字段做出详细的解释,让我们在使用OAuth2.0 的时候也有一些迷茫,这里主要针对主要的表以及字段进行说明。
其他表都比较简单也容易理解,重点主要时对于oauth_client_details,以及对应字段的意义,因为在实际使用的时候,该表中的字段是影响业务运行的关键。
先大致看一下流程
client_id | 主键,必须唯一,不能为空. 用于唯一标识每一个客户端(client); 在注册时必须填写(也可由服务端自动生成). 对于不同的grant_type,该字段都是必须的. 在实际应用中的另一个名称叫appKey,与client_id是同一个概念. |
resource_ids | 客户端所能访问的资源id集合,多个资源时用逗号(,)分隔,如: "unity-resource,mobile-resource". 可以根据上图知道,我们有Resource Server资源服务器。 Authorization Server给client第三方客户端授权的时候,可以设置这个client可以访问哪一些Resource Server资源服务,如果没设置,就是对所有的Resource Server都有访问权限。 |
client_secret | 用于指定客户端(client)的访问密匙; 在注册时必须填写(也可由服务端自动生成). 对于不同的grant_type,该字段都是必须的. 在实际应用中的另一个名称叫appSecret,与client_secret是同一个概念. |
scope | 指定客户端申请的权限范围,可选值包括read,write,trust;若有多个权限范围用逗号(,)分隔,如: "read,write". @EnableGlobalMethodSecurity(prePostEnabled = true)启用方法级权限控制 然后在方法上注解标识@PreAuthorize("#oauth2.hasScope('read')") |
authorized_grant_types | 指定客户端支持的grant_type,可选值包括authorization_code,password,refresh_token,implicit,client_credentials, 若支持多个grant_type用逗号(,)分隔,如: "authorization_code,password". 在实际应用中,当注册时,该字段是一般由服务器端指定的,而不是由申请者去选择的,最常用的grant_type组合有: "authorization_code,refresh_token"(针对通过浏览器访问的客户端); "password,refresh_token"(针对移动设备的客户端). implicit与client_credentials在实际中很少使用,可以根据自己的需要,在OAuth2.0 提供的地方进行扩展自定义的授权 |
web_server_redirect_uri | 客户端的重定向URI,可为空, 当grant_type为authorization_code 或implicit 时, 在Oauth的流程中会使用并检查与注册时填写的redirect_uri是否一致. 下面分别说明:
|
authorities | @PreAuthorize("hasAuthority('admin')")可以在方法上标志 用户或者说client 需要说明样的权限 指定客户端所拥有的Spring Security的权限值,可选, 若有多个权限值,用逗号(,)分隔, 如: "ROLE_UNITY,ROLE_USER". (请在spring-oauth-client项目中来测试不同grant_type时authorities的变化) |
access_token_validity | 设定客户端的access_token的有效时间值(单位:秒),可选, 若不设定值则使用默认的有效时间值(60 * 60 * 12, 12小时). 在服务端获取的access_token JSON数据中的 expires_in 字段的值即为当前access_token的有效时间值.在项目中, 可具体参考 DefaultTokenServices.java 中属性accessTokenValiditySeconds .在实际应用中, 该值一般是由服务端处理的, 不需要客户端自定义. |
refresh_token_validity | 设定客户端的refresh_token的有效时间值(单位:秒),可选, 若不设定值则使用默认的有效时间值(60 * 60 * 24 * 30, 30天). 若客户端的grant_type不包括 refresh_token ,则不用关心该字段 在项目中, 可具体参考DefaultTokenServices.java 中属性refreshTokenValiditySeconds .在实际应用中, 该值一般是由服务端处理的, 不需要客户端自定义. |
additional_information | 这是一个预留的字段,在Oauth的流程中没有实际的使用,可选,但若设置值,必须是JSON格式的数据,如: {"country":"CN","country_code":"086"}按照 spring-security-oauth 项目中对该字段的描述Additional information for this client, not need by the vanilla OAuth protocol but might be useful, for example,for storing descriptive information. (详见 ClientDetails.java 的getAdditionalInformation() 方法的注释) 在实际应用中, 可以用该字段来存储关于客户端的一些其他信息,如客户端的国家,地区,注册时的IP地址等等. |
create_time | 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段) |
autoapprove | 设置用户是否自动Approval操作, 默认值为 'false', 可选值包括 'true','false', 'read','write'. 该字段只适用于grant_type="authorization_code"的情况,当用户登录成功后,若该值为'true'或支持的scope值,则会跳过用户Approve的页面, 直接授权. |
在项目中,主要操作 |
字段名 | 字段说明 |
create_time | 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段) |
token_id | 从服务器端获取到的access_token的值. |
token | 这是一个二进制的字段, 存储的数据是OAuth2AccessToken.java对象序列化后的二进 制数据. |
authentication_id | 该字段具有唯一性, 是根据当前的username(如果有),client_id与scope通过MD5加密 生成的. 具体实现请参考DefaultClientKeyGenerator.java类. |
user_name | 登录时的用户名 |
client_id |
该表用于在客户端系统中存储从服务端获取的token数据, 在spring-oauth-server项目中未使用到. 对
oauth_client_token表的主要操作在JdbcClientTokenServices.java类中, 更多的细节请参考该类.
字段名 | 字段说明 |
create_time | 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段) |
token_id | 该字段的值是将access_token的值通过MD5加密后存储的. |
token | 存储将OAuth2AccessToken.java对象序列化后的二进制数据, 是真实的AccessToken 的数据值. |
authentication_id | 该字段具有唯一性, 其值是根据当前的username(如果有),client_id与scope通过MD5 加密生成的. 具体实现请参考DefaultAuthenticationKeyGenerator.java类. |
user_name | 登录时的用户名, 若客户端没有用户名(如grant_type=“client_credentials”),则该值等 于client_id |
client_id | |
authentication | 存储将OAuth2Authentication.java对象序列化后的二进制数据. |
refresh_token | 该字段的值是将refresh_token的值通过MD5加密后存储的. 在项目中,主要操作 oauth_access_token表的对象是JdbcTokenStore.java. 更多的细节请参考该类 |
字段名 | 字段说明 |
create_time | 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段) |
token_id | 该字段的值是将refresh_token的值通过MD5加密后存储的. |
token | 存储将OAuth2RefreshToken.java对象序列化后的二进制数据. |
authentication | 存储将OAuth2Authentication.java对象序列化后的二进制数据. |
在项目中,主要操作oauth_refresh_token表的对象是JdbcTokenStore.java. (与操作oauth_access_token表的对象
一样);更多的细节请参考该类. 如果客户端的grant_type不支持refresh_token,则不会使用该表.
字段名 | 字段说明 |
create_time | 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段) |
code | 存储服务端系统生成的code的值(未加密). |
authentication | 存储将AuthorizationRequestHolder.java对象序列化后的二进制数据. |
在项目中,主要操作oauth_code表的对象是JdbcAuthorizationCodeServices.java. 更多的细节请参考该类。 只有当 grant_type为"authorization_code"时,该表中才会有数据产生; 其他的grant_type没有使用该表。