使用授权码模式获取 WSO2 Identity Server 的授权码

本文旨在指导开发者如何在使用 WSO2 Identity Server 的授权码模式时，获取用于生成访问令牌的授权码。 重点介绍配置授权码授权类型，并阐述如何通过 WSO2 授权端点获取授权码，最终实现调用 SCIM API 的目的，避免直接在应用中传递用户凭据，提升安全性。

授权码模式（Authorization Code Grant）是一种 OAuth 2.0 授权流程，它允许客户端应用代表用户访问受保护的资源，而无需直接处理用户的凭据。 在 WSO2 Identity Server 中，授权码模式是一种安全且常用的授权方式，尤其适用于 Web 应用和移动应用。

配置授权码授权类型

在使用授权码模式之前，首先需要在 WSO2 Identity Server 中为你的应用配置授权码授权类型。 具体步骤如下：

1. 登录 WSO2 Identity Server 管理控制台。
2. 导航到 "Service Providers" -> "List"。
3. 找到你的应用并点击 "Edit"。
4. 在 "OAuth/OpenID Connect Configuration" 部分，找到 "Allowed Grant Types"。
5. 确保选中 "Code" 选项。
6. 保存配置。

完成上述配置后，你的应用就可以使用授权码模式了。

获取授权码

授权码模式的核心在于获取授权码。 为了获取授权码，你的应用需要将用户重定向到 WSO2 Identity Server 的授权端点。 授权端点的 URL 通常是：

https://<hostname>:<port>/oauth2/authorize

例如：

Deep Search

智能文献、网页检索与分析工具。AI赋能，洞悉万象，让知识检索与总结触手可及

下载

https://localhost:9443/oauth2/authorize

在重定向到授权端点时，你需要包含以下参数：

• response_type: 必须设置为 code，表示请求授权码。
• client_id: 你的应用的客户端 ID。
• redirect_uri: 用户授权后，WSO2 Identity Server 将用户重定向回你的应用的 URI。 这个 URI 必须与你在应用配置中注册的 URI 匹配。
• scope: 你希望请求的权限范围。 例如，internal_user_mgt_create。
• state (可选): 用于防止 CSRF 攻击。 建议包含此参数，并在重定向返回时验证其值。

一个完整的授权请求 URL 示例：

https://localhost:9443/oauth2/authorize?response_type=code&client_id=<your_client_id>&redirect_uri=https://your-application.com/callback&scope=internal_user_mgt_create&state=xyz123

当用户访问这个 URL 时，他们将被重定向到 WSO2 Identity Server 的登录页面。 如果用户尚未登录，他们需要先登录。 登录成功后，WSO2 Identity Server 会显示一个授权页面，询问用户是否允许你的应用访问其请求的资源。

如果用户授权，WSO2 Identity Server 将会将用户重定向回你在 redirect_uri 中指定的 URI，并在 URL 中包含授权码（code）和 state 参数（如果提供）。

例如：

https://your-application.com/callback?code=<authorization_code>&state=xyz123

使用授权码获取访问令牌

在你的应用收到授权码后，你需要使用它来获取访问令牌。 为了获取访问令牌，你需要向 WSO2 Identity Server 的令牌端点发送一个 POST 请求。 令牌端点的 URL 通常是：

https://<hostname>:<port>/oauth2/token

例如：

https://localhost:9443/oauth2/token

在 POST 请求中，你需要包含以下参数：

• grant_type: 必须设置为 authorization_code，表示使用授权码模式。
• code: 你收到的授权码。
• redirect_uri: 与你在授权请求中使用的 redirect_uri 相同。
• client_id: 你的应用的客户端 ID。
• client_secret: 你的应用的客户端密钥。 需要在请求头中以 Authorization: Basic <base64 encoded client_id:client_secret> 形式提供，或者作为参数提供。

可以使用 curl 命令发送 POST 请求的示例：

curl -X POST \
  https://localhost:9443/oauth2/token \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -H 'Authorization: Basic <base64 encoded client_id:client_secret>' \
  -d 'grant_type=authorization_code&code=<authorization_code>&redirect_uri=https://your-application.com/callback'

成功发送请求后，WSO2 Identity Server 将会返回一个 JSON 响应，其中包含访问令牌（access_token）、刷新令牌（refresh_token，如果请求了 offline_access 权限）和其他相关信息。

使用访问令牌调用 SCIM API

现在你已经获得了访问令牌，可以使用它来调用 WSO2 Identity Server 的 SCIM API。 需要在请求头中添加 Authorization: Bearer <access_token>。

例如，要创建一个新用户，你可以使用以下 curl 命令：

curl -X POST \
  https://localhost:9443/scim2/Users \
  -H 'Content-Type: application/scim+json' \
  -H 'Authorization: Bearer <access_token>' \
  -d '{
    "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
    "userName": "newuser",
    "password": "Password123!",
    "name": {
      "familyName": "User",
      "givenName": "New"
    }
  }'

注意事项

• 安全性： 务必妥善保管客户端密钥，避免泄露。 不要将客户端密钥存储在客户端代码中。
• Redirect URI: 确保在 WSO2 Identity Server 中注册的 redirect_uri 与你在授权请求中使用的 redirect_uri 完全匹配。
• State 参数： 始终使用 state 参数来防止 CSRF 攻击。
• 错误处理： 在实际应用中，需要对授权和令牌请求的错误进行处理，以便提供更好的用户体验。
• 刷新令牌： 如果你需要长期访问受保护的资源，可以使用刷新令牌来获取新的访问令牌，而无需再次重定向用户到授权端点。 需要在请求 scope 时包含 offline_access。

总结

通过配置授权码授权类型，获取授权码，并使用授权码交换访问令牌，你可以安全地访问 WSO2 Identity Server 上的受保护资源，而无需在你的应用中处理用户的凭据。 授权码模式提供了一种安全且灵活的授权方式，适用于各种类型的应用。