OAuth2 ，绝对让很多小伙伴头大。不像其他的技术点，随便写几行代码，就能跑一个 Demo 出来，OAuth2 你想跑一个 Demo 出来，都得写半天代码。

今天松哥就来手把手教大家，如何结合 Spring Security 来使用 OAuth2。

OAuth2

OAuth 是一个开放标准，该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源（如头像、照片、视频等），而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌（token），而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌（token）的方式可以让用户灵活的对第三方应用授权或者收回权限。

OAuth2 是 OAuth 协议的下一版本，但不向下兼容 OAuth 1.0。传统的 Web 开发登录认证一般都是基于 session 的，但是在前后端分离的架构中继续使用 session 就会有许多不便，因为移动端（Android、iOS、微信小程序等）要么不支持 cookie（微信小程序），要么使用非常不便，对于这些问题，使用 OAuth2 认证都能解决。

授权模式

OAuth协议的授权模式共分为四种：

1. 授权码模式：常见的第三方平台登录功能基本都是使用这种模式。

2. 简化模式：简化模式是不需要客户端服务器参与，直接在浏览器中向授权服务器申请令牌（token），一般如果网站是纯静态页面则可以采用这种方式。

3. 密码模式：密码模式是用户把用户名密码直接告诉客户端，客户端使用说这些信息向授权服务器申请令牌（token）。这需要用户对客户端高度信任，例如客户端应用和服务提供商就是同一家公司。

4. 客户端模式：客户端模式是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权，严格来说，客户端模式并不能算作 OAuth 协议要解决的问题的一种解决方案，但是，对于开发者而言，在一些前后端分离应用或者为移动端提供的认证授权服务器上使用这种模式还是非常方便的。

这四种模式各有千秋，分别适用于不同的开发场景，开发者要根据实际情况进行选择。本文主要和大家介绍密码模式。

实战

接下来松哥通过一个自制的视频教程，大概在 27 分钟左右，手把手教大家如何在 Spring Security 中使用 OAuth2（本视频教程节选自松哥自制的 Spring Boot2 系列视频教程，本集基于 Spring Boot2.1.7 录制）。

好了，不知道大家有没有看懂呢？本文的案例我已上传到 GitHub：https://github.com/lenve/javaboy-video-samples。

有问题欢迎留言讨论。

喜欢就点个"在看"呗^_^