此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
OAuth 2.0 资源服务器
Spring Security 支持使用两种形式的 OAuth 2.0 不记名令牌保护端点:
-
不透明令牌
在应用程序已将其权限管理委托给授权服务器(例如,Okta 或 Ping Identity)的情况下,这非常方便。 资源服务器可以查阅此授权服务器来授权请求。
本节详细介绍了 Spring Security 如何为 OAuth 2.0 Bearer Tokens 提供支持。
Spring Security Samples 存储库中提供了 JWT 和不透明令牌的工作示例。 |
让我们看一下 Bearer Token Authentication 在 Spring Security 中是如何工作的。 首先,我们看到,与基本身份验证一样,WWW-Authenticate 标头被发送回未经身份验证的客户端。
上图基于 SecurityFilterChain
图。
首先,用户向未获得授权的资源发出未经身份验证的请求。/private
Spring Security 的 FilterSecurityInterceptor
通过抛出 .AccessDeniedException
由于用户未经过身份验证,因此 ExceptionTranslationFilter
启动 Start Authentication。
配置的 AuthenticationEntryPoint
是 BearerTokenAuthenticationEntryPoint
的实例,它发送 WWW-Authenticate 标头。
这通常不会保存请求,因为 Client 端能够重放它最初请求的请求。RequestCache
NullRequestCache
当客户端收到标头时,它知道它应该使用持有者令牌重试。
以下是正在处理的不记名令牌的流程。WWW-Authenticate: Bearer
该图基于我们的 SecurityFilterChain
图构建。
当用户提交其持有者令牌时,会通过从 中提取令牌来创建一个 Authentication,这是一种 Authentication
类型。BearerTokenAuthenticationFilter
BearerTokenAuthenticationToken
HttpServletRequest
接下来,将 传递给 ,后者选择 。将 传递到 要进行身份验证的 中。
外观的详细信息取决于您是针对 JWT 还是 opaque 令牌进行配置。HttpServletRequest
AuthenticationManagerResolver
AuthenticationManager
BearerTokenAuthenticationToken
AuthenticationManager
AuthenticationManager
如果身份验证失败,则失败
-
调用 以触发要再次发送的 WWW-Authenticate 标头。
AuthenticationEntryPoint
如果身份验证成功,则为 Success。
-
调用 以继续执行应用程序逻辑的其余部分。
BearerTokenAuthenticationFilter
FilterChain.doFilter(request,response)