TsgcHTTP_OAuth2_Server

此组件在服务器端组件中提供 OAuth2 协议实现。

服务器组件有一个名为 Authorization.OAuth.OAuth2 的属性，您可以在其中分配一个 TsgcHTTP_OAuth2_Server 实例，因此如果启用了 Authentication 且 OAuth2 属性附加了 OAuth2 服务器组件，则 WebSocket 和 HTTP 请求需要 Bearer 令牌才能被处理，否则连接将自动关闭。

    OAuth2 := TsgcHTTP_OAuth2_Server.Create(nil);
    Server.Authentication.Enabled := True;
    Server.Authentication.OAuth.OAuth2 := OAuth2;

服务器支持以下授权类型：

• auth2Code：用于在大多数应用程序类型（包括单页应用、Web 应用和原生安装应用）中执行身份验证和授权。该流程使应用能够安全获取可用于访问受保护资源的 access_token，以及用于获取额外 access_token 的刷新令牌，以及已登录用户的 ID 令牌。

• auth2ClientCredentials：此授权类型通常用于必须在后台运行且无需与用户即时交互的服务器间交互。此类应用程序通常称为守护进程或服务账户。

• password（资源所有者密码凭据）：允许应用程序通过直接处理用户凭据来登录用户。客户端将用户的用户名和密码发送到令牌端点。

• urn:ietf:params:oauth:grant-type:device_code（设备码）：根据 RFC 8628 的设备授权许可。允许输入受限的设备（智能电视、IoT 设备）通过让用户在辅助设备上授权的方式获取用户授权。

注册应用程序时可以自定义授权类型，默认情况下支持所有授权类型。

端点

默认情况下，组件配置以下端点来处理授权和令牌请求

Authorization：/sgc/oauth2/auth

Token： /sgc/oauth2/token

Revocation：/sgc/oauth2/revoke

自省： /sgc/oauth2/introspect

设备授权：/sgc/oauth2/device

设备验证：/sgc/oauth2/device/verify

因此，如果服务器在端口 443 上监听且域名为 www.esegece.com，则端点为：

Authorization： https://www.esegece.com/sgc/oauth2/auth

Token： https://www.esegece.com/sgc/oauth2/token

Revocation：https://www.esegece.com/sgc/oauth2/revoke

Introspection：https://www.esegece.com/sgc/oauth2/introspect

Device Authorization：https://www.esegece.com/sgc/oauth2/device

设备验证： https://www.esegece.com/sgc/oauth2/device/verify

端点可在 OAuth2Options 属性中配置。

默认情况下，启用了 PKCE（这是授权码流程的扩展，用于防止 CSRF 和授权码注入攻击）。

配置

在开始 OAuth2 流程之前，您必须注册将要使用的应用程序，这可通过 OAuth2 服务器组件的 Apps 属性完成。

注册应用程序

使用 Apps.AddApp 向 OAuth2 服务器添加新应用程序，必须设置以下参数：

• 应用名称： 是应用程序的名称，示例：MyApp
• RedirectURI：响应将被重定向到的地址。示例：http://127.0.0.1:8080
• ClientId：这是公开信息，即客户端的 ID。
• ClientSecret：必须保密。

您可以选择设置以下参数：

• ExpiresIn：默认为 3600 秒，即令牌将在 1 小时后过期，若有需要可设置更大的值。
• RefreshToken： 默认情况下支持刷新令牌，如不支持，请将此参数设置为 false。
• AllowedGrantTypes：默认情况下支持所有授权类型（auth2Code 和 auth2ClientCredentials），但服务器可配置为仅允许授权码模式或仅允许客户端凭证模式。

删除应用

使用 Apps.RemoveApp 删除现有应用程序。

AddToken

如果服务器在颁发了一些令牌后重新启动，您可以在启动 OAuth2 服务器并注册应用程序之前，使用 AddToken 方法恢复这些令牌。

• AppName: 应用程序的名称。
• Token：访问令牌。
• 过期时间：令牌的过期时间。
• RefreshToken：刷新令牌。

RemoveToken

删除已颁发的令牌。

OAuth2Options

OAuth2Options 属性允许配置服务器端点和可选功能。

吊销

符合 RFC 7009 的令牌撤销。启用后，客户端可撤销之前颁发的访问令牌或刷新令牌。

• OAuth2Options.Revocation.Enabled：设置为 True 以启用撤销端点。
• OAuth2Options.Revocation.URL：端点 URL 路径。默认值：/sgc/oauth2/revoke

自省

按照 RFC 7662 进行令牌自省。启用后，资源服务器可查询授权服务器以确定令牌的活动状态和元数据。

• OAuth2Options.Introspection.Enabled：设置为 True 以启用自省端点。
• OAuth2Options.Introspection.URL： 端点 URL 路径。默认值：/sgc/oauth2/introspect

DeviceAuthorization

设备授权授予方式，符合 RFC 8628。启用后，输入受限的设备可通过让用户在辅助设备上进行授权来请求授权。

• OAuth2Options.DeviceAuthorization.Enabled：设为 True 以启用设备授权端点。
• OAuth2Options.DeviceAuthorization.URL：设备代码请求的端点 URL 路径。默认值：/sgc/oauth2/device
• OAuth2Options.DeviceAuthorization.VerificationURL：用户验证页面的端点 URL 路径。默认：/sgc/oauth2/device/verify
• OAuth2Options.DeviceAuthorization.ExpiresIn：设备码的生命周期（秒）。默认值：600（10 分钟）。
• OAuth2Options.DeviceAuthorization.Interval：客户端轮询令牌端点时应使用的最小轮询间隔（以秒为单位）。默认值：5。