对于最新的稳定版本,请使用 Spring Security 6.5.3spring-doc.cadn.net.cn

OAuth 2.0 资源服务器

Spring Security 支持使用两种形式的 OAuth 2.0 持有者Tokens保护端点:spring-doc.cadn.net.cn

这在应用程序已将其权限管理委托给授权服务器(例如 Okta 或 Ping Identity)的情况下非常方便。 资源服务器可以查阅此授权服务器来授权请求。spring-doc.cadn.net.cn

本节详细介绍了 Spring Security 如何为 OAuth 2.0 不记名Tokens提供支持。spring-doc.cadn.net.cn

JWTOpaque Token 的工作示例可在 Spring Security Samples 存储库中找到。spring-doc.cadn.net.cn

让我们来看看 Bearer Token Authentication 在 Spring Security 中是如何工作的。 首先,我们看到,与基本身份验证一样,WWW-Authenticate 标头被发送回未经身份验证的客户端。spring-doc.cadn.net.cn

BearerAuthentication入口点
图 1.发送 WWW-Authenticate 标头

上图建立在我们的SecurityFilterChain图。spring-doc.cadn.net.cn

1号首先,用户向资源发出未经身份验证的请求/private它没有被授权。spring-doc.cadn.net.cn

2号Spring Security 的FilterSecurityInterceptor表示通过抛出AccessDeniedException.spring-doc.cadn.net.cn

3号由于用户未经过身份验证,ExceptionTranslationFilter启动启动身份验证。 配置的AuthenticationEntryPointBearerTokenAuthenticationEntryPoint它发送一个 WWW-Authenticate 标头。 这RequestCache通常是NullRequestCache这不会保存请求,因为客户端能够重播它最初请求的请求。spring-doc.cadn.net.cn

当客户端收到WWW-Authenticate: Bearer标头,它知道它应该使用持有者Tokens重试。 下面是正在处理的不记名Tokens的流程。spring-doc.cadn.net.cn

BearerToken身份验证过滤器
图 2.验证持有者Tokens

该图建立在我们的SecurityFilterChain图。spring-doc.cadn.net.cn

1号当用户提交其不记名Tokens时,BearerTokenAuthenticationFilter创建一个BearerTokenAuthenticationToken这是一种Authentication通过从HttpServletRequest.spring-doc.cadn.net.cn

2号接下来,HttpServletRequest传递给AuthenticationManagerResolver,它选择AuthenticationManager.这BearerTokenAuthenticationToken被传递到AuthenticationManager待认证。 什么的细节AuthenticationManager看起来取决于您是配置了 JWT 还是不透明Tokensspring-doc.cadn.net.cn

3号如果身份验证失败,则失败spring-doc.cadn.net.cn

4号如果身份验证成功,则成功spring-doc.cadn.net.cn