Spring Boot OAuth2 提供者数据库表解释

Question

我正在尝试使用 JWT 和 Spring Boot 2 实现 OAuth2 服务器。互联网上有一些很好的示例，例如 this 或 this。他们正在使用一些带有一堆字段的数据库表（oauth_client_details、oauth_client_token、oauth_code、oauth_approvals、ClientDetails）。其中一些很容易理解，而另一些则不然。我在任何地方都找不到关于需要哪些表和字段以及它们的含义的解释：

---

create table oauth_client_details (      /*Stores client details*/
  client_id VARCHAR(255) PRIMARY KEY,
  resource_ids VARCHAR(255),             /*Q1: is this comma separated list of resources?*/
  client_secret VARCHAR(255),
  scope VARCHAR(255),
  authorized_grant_types VARCHAR(255),
  web_server_redirect_uri VARCHAR(255),
  authorities VARCHAR(255),              /*Q2: what it this for?*/
  access_token_validity INTEGER,         /*Q3: Is this the validity period in seconds?*/
  refresh_token_validity INTEGER,
  additional_information VARCHAR(4096),  /*Q4: Can I omit this field if I don't need any additional information?*/
  autoapprove VARCHAR(255)               /*Q5: What does this mean?*/
);  

create table if not exists oauth_client_token ( /*Q6: What is this table for?*/
  token_id VARCHAR(255),
  token LONGVARBINARY,
  authentication_id VARCHAR(255) PRIMARY KEY,
  user_name VARCHAR(255),
  client_id VARCHAR(255)
);  

create table if not exists oauth_access_token ( /*Q7: Do I need this table if I use JWT?*/
  token_id VARCHAR(255),
  token LONGVARBINARY,
  authentication_id VARCHAR(255) PRIMARY KEY,
  user_name VARCHAR(255),
  client_id VARCHAR(255),
  authentication LONGVARBINARY,
  refresh_token VARCHAR(255)
);  

create table if not exists oauth_refresh_token ( /*Q8: Do I need this table if I use JWT?*/
  token_id VARCHAR(255),
  token LONGVARBINARY,
  authentication LONGVARBINARY
);  

create table if not exists oauth_code (
  code VARCHAR(255), authentication LONGVARBINARY
);  

create table if not exists oauth_approvals ( /*Q9: What it this for?*/
  userId VARCHAR(255),
  clientId VARCHAR(255),
  scope VARCHAR(255),
  status VARCHAR(10),
  expiresAt TIMESTAMP,
  lastModifiedAt TIMESTAMP
);  

create table if not exists ClientDetails ( /*Q10: Yet another client details???*/
  appId VARCHAR(255) PRIMARY KEY,
  resourceIds VARCHAR(255),
  appSecret VARCHAR(255),
  scope VARCHAR(255),
  grantTypes VARCHAR(255),
  redirectUrl VARCHAR(255),
  authorities VARCHAR(255),
  access_token_validity INTEGER,
  refresh_token_validity INTEGER,
  additionalInformation VARCHAR(4096),
  autoApproveScopes VARCHAR(255)
);

---

Answer 1

如果是 JWT 令牌，则不需要 oauth_access_token 和 oauth_refresh_token 表。检查JwtTokenStore 的实现以获取更多信息。

哪些表是必需的，完全取决于您使用的OAuth Grant type。如果您使用的是Authorization code 授权类型，则需要oauth_code 和oauth_approvals 之类的表。

scope 和 authorities 之间的差异，请查看 OAuth Scope vs Authorities

Answer 2

这里是一些没有回答的问题的答案。

Q4 : 是的，你可以省略

Q7、Q8：如果使用 jwt，则不需要 oauth_access_token、oauth_refresh_token 表，

当客户端请求令牌时，访问令牌和相关详细信息存储在 oauth_access_token 表中。有效秒数到期后，有关此令牌的详细信息将被删除。 oauth_refresh_token 表存储刷新令牌的详细信息。在访问令牌过期后，您可以使用此刷新令牌来实现新的访问令牌

Answer 3

首先，很遗憾，我不能回答你所有的问题，但我至少可以回答一些：

Q1：是的，它是一个逗号分隔的列表。 Q3：是的，没错。

只有某些授权授予类型才需要几个表，正如 Afridi 在他的回答中已经提到的那样。我发现这个特殊的page 非常有助于理解哪种授权类型的工作原理以及我可能需要哪些表。

Q10：我认为你不需要那张桌子。

Answer 4

• Q1：是的
• Q2：不适用
• Q3：是的
• Q4：是的。注意：oauth_client_details 支持JdbcClientDetailsService。您可以使用自定义表创建 ClientDetailsService 实现。
• Q5：授权自动批准的客户端范围 服务器，支持授权码流
• Q6：此表由JdbcClientTokenServices使用
• Q7：是的，这个表支持JwtTokenStore
• Q8：是的，这个表支持JwtTokenStore
• Q9：店铺审批状态，支持授权码流
• Q10：如果需要，只需自定义oauth_client_details