此版本仍在开发中，尚未被视为稳定版本。对于最新的稳定版本，请使用 Spring Security 6.4.1！spring-doc.cn

OAuth 2.0 资源服务器

Spring Security 支持使用两种形式的 OAuth 2.0 不记名令牌来保护端点：spring-doc.cn

JWT spring-doc.cn
不透明令牌spring-doc.cn

在应用程序已将其权限管理委托给授权服务器（例如，Okta 或 Ping Identity）的情况下，这非常方便。资源服务器可以查阅此授权服务器来授权请求。spring-doc.cn

本节详细介绍了 Spring Security 如何为 OAuth 2.0 Bearer Tokens 提供支持。spring-doc.cn

Spring Security Samples 存储库中提供了 JWT 和不透明令牌的工作示例。spring-doc.cn

现在我们可以考虑 Bearer Token Authentication 在 Spring Security 中是如何工作的。首先，我们看到，与基本身份验证一样，WWW-Authenticate 标头被发送回未经身份验证的客户端：spring-doc.cn

图 1.发送 WWW-Authenticate 报头

上图基于 SecurityFilterChain 图。spring-doc.cn

数字 1 首先，用户向用户未获得授权的资源发出未经身份验证的请求。/privatespring-doc.cn

编号 2 Spring Security 的 FilterSecurityInterceptor 通过抛出 .AccessDeniedExceptionspring-doc.cn

编号 3 由于用户未经过身份验证，因此 ExceptionTranslationFilter 启动 Start Authentication。配置的 AuthenticationEntryPoint 是 BearerTokenAuthenticationEntryPoint 的实例，它发送一个标头。这通常是不保存请求的 a，因为 Client 端能够重放它最初请求的请求。WWW-AuthenticateRequestCacheNullRequestCachespring-doc.cn

当客户端收到标头时，它知道它应该使用持有者令牌重试。下图显示了正在处理的持有者令牌的流程：WWW-Authenticate: Bearerspring-doc.cn

图 2.验证 Bearer Token

该图基于我们的 SecurityFilterChain 图构建。spring-doc.cn

数字 1 当用户提交其持有者令牌时，会通过从中提取令牌来创建一个 Authentication，这是一种 Authentication 类型。BearerTokenAuthenticationFilterBearerTokenAuthenticationTokenHttpServletRequestspring-doc.cn

编号 2 接下来，将传递给，后者选择。将传递到要进行身份验证的中。外观的详细信息取决于您是针对 JWT 还是 opaque 令牌进行配置。HttpServletRequestAuthenticationManagerResolverAuthenticationManagerBearerTokenAuthenticationTokenAuthenticationManagerAuthenticationManagerspring-doc.cn

编号 3 如果身份验证失败，则失败spring-doc.cn

SecurityContextHolder被清除。spring-doc.cn
调用以触发要再次发送的 WWW-Authenticate 标头。AuthenticationEntryPointspring-doc.cn

编号 4 如果身份验证成功，则为 Success。spring-doc.cn

Authentication在SecurityContextHolder上设置。spring-doc.cn
调用以继续执行应用程序逻辑的其余部分。BearerTokenAuthenticationFilterFilterChain.doFilter(request,response)spring-doc.cn