spring-authorization-server 公共客户端方式获取授权码和Token的流程_spring authorization server jwt验证

spring-authorization-serve【版本1.2.1】官方文档中提及了关于RegisteredClient中所涉及的客户端身份验证方法，也就是RegisteredClient中提及的clientAuthenticationMethods属性对应的“none”值，目前clientAuthenticationMethods属性支持的值包含：client_secret_basic, client_secret_post, private_key_jwt, client_secret_jwt, and none (public clients)。
大家可参考官方文档来了解PKCE相关的标准规范定义。这里我推荐大家看一下附录B，如何通过code_verifier获取code_challenge。

PKCE Protocol Flow

通过code_verifier获取code_challenge

这里直接引用官方文档附录B示例如下：

客户端使用合适的随机数生成器创建出来32个八位字节序列。本例中表示值的八位字节（使用JSON数组表示法）为：

[116, 24, 223, 180, 151, 153, 224, 37, 79, 250, 96, 125, 216, 173, 187, 186, 22, 212, 37, 77, 105, 214, 191, 240, 91, 88, 5, 88, 83, 132, 141, 121]
1

将此八位字节序列进行base64url编码作为code_verifier的值：dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk

然后通过SHA256哈希函数对code_verifier进行哈希，生成：

[19, 211, 30, 150, 26, 26, 216, 236, 47, 22, 177, 12, 76, 152, 46, 8, 118, 168, 120, 173, 109, 241, 68, 86, 110, 225, 137, 74, 203, 112, 249, 195]
1

将该八位字节序列base64url编码作为code_challenge的值：E9Melhoa2OwvFrEMTJguCHaoeK1t8URWbuGJSstw-cM

最后在授权请求的url中追加如下参数code_challenge和code_challenge_method：

code_challenge=E9Melhoa2OwvFrEMTJguCHaoeK1t8URWbuGJSstw-cM&code_challenge_method=S256
1

code_verifier和code_challenge的具体用法

下面在是PKCE官网提供的Abstract Protocol Flow如下：

A、客户端在请求授权服务的Authorization Endpoint （授权端点）获取Authorization Code（授权码）时，需要提交的参数需要包含“t(code_verifier)”,和“t_m”，“t(code_verifier)”也就是上面说的code_challenge，“t_m”就是code_challenge_method。这里有个操作是授权服务会把code_challenge和code_challenge_method存储起来。
B、授权服务返回Authorization Code（授权码）给客户端
C、客户端在请求授权服务的Token Endpoint获取token时需要提交参数code_verifier，授权服务会根据此次提交的code_verifier和A步存储的code_challenge_method生成code_challenge来验证是否和A步存储的code_challenge一致。
D、code_challenge一致则进行下面的流程直至成功返回Access Token。

在spring-authorization-server的运用

spring-authorization-server针对公共客户端也是依据PKCE的标准进行处理的。

创建应用程序

在获取授权码前首先需要创建一个SpringBoot应用程序可参考官网的Getting Started，然后稍作修改，如下：

application.yml

server:
  
1