Apache olth学习笔记

asfsd

简介

Apache olth是oauth2.0协议的java实现，可简化oauth应用的开发，提供了授权服务器，资源服务器以及客户端的实现。我们这里主要使用oauth2.0协议做授权服务，因此主要学习授权服务器的实现。
代码结构



上图为apache olth的授权服务器的代码组织结构，从包的组织可以看到分为四个模块：

• issuser        主要提供用于生成授权码(authorization code)、访问令牌(access token)和刷新令牌(refresh token)的通用实现
  
• request       用于封装授权码请求和令牌请求的通用逻辑，并提供响应的校验手段
  
• response    用于封装授权流程中通用的响应逻辑，提供生成不同响应结果的方法
  
• validator    为request提供校验服务
  

issuser代码分析



一共包含2个接口和3个类，其中OAuthIssuser接口定义issuer的通用功能：



public interface OAuthIssuer {
    public String accessToken() throws OAuthSystemException;
    public String authorizationCode() throws OAuthSystemException;
    public String refreshToken() throws OAuthSystemException;
}
OAuthIssuer的实现中使用ValueGenerator来生成实际的值：


public interface ValueGenerator {
    public String generateValue() throws OAuthSystemException;
    public String generateValue(String param) throws OAuthSystemException;
}

ValueGenerator提供了两个通用的实现类：MD5Generator和UUIDValueGenerator.
request代码分析



request包中包含5个类，其中OAuthRequest是其他四个类的父类，提供最基础最通用的逻辑和工具方法，OAuthAuthzRequest类用于授权码请求，而OAuthTokenRequest和OAuthUnauthenticatedTokenRequest用于访问令牌和刷新访问令牌请求。

请求封装的主要作用是根据oauth2.0规范中规定的各个步骤中相关参数是否可选等规则，来对实际的请求进行校验。校验的逻辑又有validator包中的各种validator实现来完成，request包中只需要根据不同的业务需求组合不同的validator即可完成对应的校验工作。

首先看父类OAuthRequest提供的方法：


除了提供从实际请求中获取oauth2.0规定的参数的方法外，还有两个protected方法：validate和initValidator，其中initValidator方法由子类负责实现。也就是说子类负责提供validator，validator方法中会调用提供的validator：


protected void validate() throws OAuthSystemException, OAuthProblemException {
    try {
        // 拿到validator
        validator = initValidator();
        validator.validateMethod(request);
        validator.validateContentType(request);
        // 校验必填的参数是否满足
        validator.validateRequiredParameters(request);
        // 校验凭证认证
        validator.validateClientAuthenticationCredentials(request);
    } catch (OAuthProblemException e) {
        try {
            String redirectUri = request.getParameter(OAuth.OAUTH_REDIRECT_URI);
            if (!OAuthUtils.isEmpty(redirectUri)) {
                e.setRedirectUri(redirectUri);
            }
        } catch (Exception ex) {
            if (log.isDebugEnabled()) {
                log.debug("Cannot read redirect_url from the request: {}", new String[] {ex.getMessage()});
            }
        }
        throw e;
    }
}

接着我们看子类OAuthAuthzRequest的initValidator方法：


protected OAuthValidator initValidator() throws OAuthProblemException, OAuthSystemException {
    // 请求授权码时response_type参数可以是code或token，详情看oauth2.0规范
    validators.put(ResponseType.CODE.toString(), CodeValidator.class);
    validators.put(ResponseType.TOKEN.toString(), TokenValidator.class);
   
    // 从实际请求中获取response_type参数,跟根据其值返回对应的validator实例
    final String requestTypeValue = getParam(OAuth.OAUTH_RESPONSE_TYPE);
    if (OAuthUtils.isEmpty(requestTypeValue)) {
        throw OAuthUtils.handleOAuthProblemException("Missing response_type parameter value");
    }
    final Class