4-OAuth2.0协议简单认识_springsecurity oauth2 resource user-info鈥搖ri

上一篇胖哥和大家一起通过日志分析了Spring Security OAuth2的authorization_code模式，相信流程你已经了解了一些。但是你会不会有这样的疑问，用户访问客户端自己的资源/foo/hello为啥还要跳到第三方gitee登录？正常情况下自己的资源只要自己认证就能访问，借助于其它平台认证授权是怎么回事？

解惑

Spring Security OAuth2 Login纯粹是“借别人的鸡下自己的蛋”。真正的目的是授权去访问/v5/user获得gitee平台当前用户的信息，借第三方平台的用户注册信息来给客户端平台做自己的认证，我们无条件地信任了gitee用户。 如果第三方平台不开放user-info-uri 获取用户注册信息的话，OAuth2 Login就做不成。

我个人认为Spring Security的OAuth2 Login是在OAuth2授权的基础上自行实现的认证。

/foo/hello的访问控制还是Spring Security自有的机制，和OAuth2无关。

OAuth2 的简单认识

OAuth2定义了如下角色，并明确区分了它们各自的关注点，以确保快速构建一致性的授权服务：

• Resource O