OAUTH2是一种安全的授权框架，其原理在网上有许多文章上可以看到。但从实践角度，好的文章比较少。SpringSecurity框架本身是支持OAUTH2的，所以下面通过使用SpringSecurity框架做个DEMO，从代码级别体验下OAUTH2。

　　还是先创建一个SpringBoot的项目，然后添加相应的依赖（由于缺乏相关资料的说明，此处的依赖是根据网上的一些文章的介绍）

<properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <spring-security-oauth2-autoconfigure.version>2.1.0.RELEASE</spring-security-oauth2-autoconfigure.version>
    </properties> 

    <dependencies>
        <dependency> 
                <groupId>org.springframework.security.oauth.boot</groupId>
                <artifactId>spring-security-oauth2-autoconfigure</artifactId>
                <version>${spring-security-oauth2-autoconfigure.version}</version>
        </dependency> 
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-security</artifactId>
        </dependency>
    </dependencies>

添加启动类

@SpringBootApplication
@EnableAuthorizationServer   //这个注解也是根据Springcloud的惯例进行添加
public class AuthorizationApp 
{
    public static void main( String[] args )
    {
        SpringApplication.run(AuthorizationApp.class, args) ;
    }
}

至于application.yml文件暂时啥都没配，启动 AuthorizationApp 实例后，在8080默认端口启动了web服务，按着对OAUTH协议的理解，这样应该是启动了OAUTH2的authorizagion server。

查看@EnableAuthorizationServer注解源码，如下：

@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Import({AuthorizationServerEndpointsConfiguration.class, AuthorizationServerSecurityConfiguration.class})
public @interface EnableAuthorizationServer {

}

可以看到其导入了两个配置类 ：AuthorizationServerEndpointsConfiguration , AuthorizationServerSecurityConfiguration

根据@EnableAuthorizationServer的注释可知，这个authorization server暴露出两个http endpoint给我们调用，分别是 /oauth/authorize 和 /oauth/token ，所以从下文开始我们先从这两个http端点着手，对SpringSecurity实现的OAUTH2机制展分析。