OAuth 2.0 资源服务器

Spring Security 支持使用两种形式的 OAuth 2.0 Bearer 令牌来保护端点

JWT
不透明令牌

这在应用程序将其授权管理委托给授权服务器（例如，Okta 或 Ping Identity）的情况下非常有用。资源服务器可以咨询此授权服务器以授权请求。

本节详细介绍了 Spring Security 如何为 OAuth 2.0 Bearer 令牌提供支持。

在 Spring Security 示例存储库中提供了 JWT 和不透明令牌的工作示例。

现在我们可以考虑 Bearer 令牌身份验证在 Spring Security 中的工作原理。首先，我们看到，与基本身份验证一样，WWW-Authenticate 标头被发送回未经身份验证的客户端

图 1. 发送 WWW-Authenticate 标头

上图基于我们的 SecurityFilterChain 图表。

number 1 首先，用户对未经授权的用户请求的 /private 资源发出未经身份验证的请求。

number 2 Spring Security 的 AuthorizationFilter 指示未经身份验证的请求被拒绝，方法是抛出 AccessDeniedException。

number 3 由于用户未经身份验证，ExceptionTranslationFilter 启动开始身份验证。配置的 AuthenticationEntryPoint 是 BearerTokenAuthenticationEntryPoint 的实例，它发送 WWW-Authenticate 标头。RequestCache 通常是 NullRequestCache，它不保存请求，因为客户端能够重播它最初请求的请求。

当客户端收到 WWW-Authenticate: Bearer 标头时，它知道应该使用 Bearer 令牌重试。下图显示了处理 Bearer 令牌的流程

图 2. 身份验证 Bearer 令牌

该图基于我们的 SecurityFilterChain 图表。

number 1 当用户提交其 Bearer 令牌时，BearerTokenAuthenticationFilter 会创建一个 BearerTokenAuthenticationToken，它是一种 Authentication，方法是从 HttpServletRequest 中提取令牌。

number 2 接下来，HttpServletRequest 被传递给 AuthenticationManagerResolver，它选择 AuthenticationManager。BearerTokenAuthenticationToken 被传递到 AuthenticationManager 进行身份验证。AuthenticationManager 的具体实现取决于您是配置了 JWT 还是不透明令牌。

number 3 如果身份验证失败，则为失败

SecurityContextHolder 被清除。
AuthenticationEntryPoint 被调用以触发再次发送 WWW-Authenticate 头。

number 4 如果身份验证成功，则为成功。

身份验证被设置在 SecurityContextHolder 上。
BearerTokenAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续执行应用程序的其余逻辑。