OAuth2.0 应用中 client-id 和 client-secret 的获取与配置实战

OAuth2.0 应用中 client-id 和 client-secret 的获取与配置实战

在 OAuth2.0 体系里，client-id 和 client-secret 是应用身份的核心凭证。简单来说，client-id 就像是应用的公开身份证号，用于标识你是谁；而 client-secret 则是你的私钥密码，必须严格保密，用来向授权服务器证明'我是合法的应用'。

这两项信息通常由 OAuth2.0 授权平台（如 GitHub、微信开放平台）在你注册应用时生成。下面结合常见场景，聊聊如何获取并安全使用它们。

一、如何获取 client-id 和 client-secret

1. GitHub 标准 OAuth2.0 流程

GitHub 是最典型的 OAuth2.0 实现之一，流程相对规范：

1. 登录开发者设置：进入 Settings → Developer settings。
2. 创建应用：点击 OAuth Apps → New OAuth App。
3. 填写关键信息：
   • Application name：应用名称，用户授权时会显示。
   • Homepage URL：网站首页地址。
   • Authorization callback URL：回调地址，⚠️ 这里必须和你后端配置的接收路径完全一致。

💡 提示：Spring Security 默认处理 OAuth2 回调的路径通常是 /login/oauth2/code/{registrationId}，注册时务必匹配好。

4. 保存凭证：点击 Register Application 后，你会看到生成的 Client ID 和 Client Secret。

Client ID: a1b2c3d4e5f6g7h8i9j0
Client Secret: abcdef1234567890ghijklmn...

⚠️ 注意：client-secret 仅显示一次！如果不小心关闭了页面，只能重置，旧密钥会立即失效。建议复制后立即保存到安全的地方。

2. 微信开放平台流程

微信的流程略有不同，但本质逻辑一致：

1. 访问 微信开放平台 并登录。
2. 进入管理中心 → 网站应用，创建'网站应用'并提交审核（通常需要企业资质）。
3. 审核通过后，你将获得 AppID（相当于 client-id）和 AppSecret（相当于 client-secret）。

💡 微信对回调地址有严格要求，必须是 HTTPS 协议，例如 https://your-domain/wx/callback。

二、Spring Boot 中的配置实践

拿到凭证后，在 Spring Boot 项目中通过配置文件即可集成。以下是标准的 application.yml 配置示例：

spring:
  security:
    oauth2:
      client:
        registration: