最近松哥一直在和大家介绍 Spring Security 以及 OAuth2 相关的技能点，连载的文章也写了好多篇了，大家在公众号后台回复 2020 可以获取原创文章索引。

在上篇文章中，我们提到了 Spring Boot 自动登录存在的一些安全风险，在实际应用中，我们肯定要把这些安全风险降到最低，今天就来和大家聊一聊如何降低安全风险的问题。

自动登录是我们在软件开发时一个非常常见的功能，例如我们登录 QQ 邮箱：

在本系列前面的文章中，正常情况下，OAuth2 返回的 access_token 信息一共包含五项：

分别是：

• access_token
• token_type
• refresh_token
• expires_in
• scope

OAuth2 和小伙伴们已经聊了很多了，咱们来一个实际点的案例练练手。

这里我才用 GitHub 来做第三方登录。

为什么是 GitHub 呢？有两方面考虑：

需要先说一下，松哥最近写的教程，都是成系列的，有一些重复的东西写来写去就没意思了，所以每一篇文章都默认大家已经懂了前面的内容了，因此下文有任何看不懂的地方，建议一定先看下相关系列：

最近一段时间一直在发安全相关的 Spring Security 和 OAuth2，当然这两个系列还在继续，对 Spring Security 和 OAuth2 感兴趣的小伙伴，不要错过前面的文章哦，本文主要将一些理论上的东西，所以要是前面的 OAuth2 不懂，可能阅读起来有些吃力：

上次发了篇文章说是 Spring Boot+Vue 视频杀青了，里边提到我有一个手敲 5W 余字的 SSM 教程，然后就有很多小伙伴不停在公众号后台追问 5W 余字的 SSM 教程在哪？看到这个问题我也挺郁闷的，看来前面的干货还是有很多小伙伴错过，因此今天就再说一下，大家在松哥公众号后台分别回复：maven、spring、springmvc、mybatis 可以获取松哥手敲的干货教程，当然也可以直接访问在线教程：

[TOC]

本文是我们 OAuth2 系列的第五篇，通过前面四篇文章相信大家对于 OAuth2 中的各种授权登录流程已经轻车熟路了。

*视频地址

昨天和小伙伴们介绍了 OAuth2 的基本概念，在讲解 Spring Cloud Security OAuth2 之前，我还是先来通过实际代码来和小伙伴们把 OAuth2 中的各个授权模式走一遍，今天我们来看最常用也最复杂的授权码模式。