inredsh

传统的账号密码已经不能满足需求了，现在通常都是短信验证码登录、扫码登录、刷脸登录等等，今天这篇文章就写一下如何使用Spring Authorization Server实现短信验证码登录。

书接上文，本次来对接一下资源服务，在本篇文章中会带领大家去构建一个资源服务器，通过注解校验token中的权限，怎么放行一个接口，使其不需要认证也可访问。

本篇文章以较少的代码集成了Security OAuth2 Client，体验到了springboot最开始说的“约定大于配置”的好处，框架添加了大量的默认配置，只需更改必须修改的自定义部分即可。

目前登录接口没有做任何限制，代表任何人都可以编写脚本的方式暴力破解，如果写一个循环一直尝试访问登录接口，那么服务器就一直会收到请求，会给服务器造成很大的压力，本篇文章就来给登录接口添加一个验证码校验。

最后经过两个简单的配置实现了自定义的token内容与解析器，这也正是框架灵活与支持高度自定义的体现，实际上这些操作的代码部分都比较少，多的是理论部分，结合文档与源码能够更好的理解框架。

在第三章的时候就有提到过响应信息的问题，按照oauth协议，异常信息放在响应头中，响应头的key是WWW-Authenticate，通常来说返回一个JSON字符串可以让开发者更方便的对响应做出一些处理

设备码流程一般使用在不便输入的设备上，设备提供一个链接给用户验证，用户在其它设备的浏览器中认证；其它的三方服务需要接入时就按各自特点使用不同的授权方式。

至此oauth2.1的所有流程基本都测试了一遍，在以后的文章会有设备码流程、登录添加图形验证码、自定义token生成和解析、自定义响应体和去除权限前缀等内容。

本篇文章从0到1搭建了一个简单认证服务，解释了认证服务的各项配置用意，如何设置自己的登录页和授权确认页，如何让认证服务解析请求时携带的token。如果文章中有遗漏或错误的地方请各位读者在评论区指出。