OAuth 2.0 资源服务器

Spring Security 支持通过使用两种形式的 OAuth 2.0 不记名令牌(Bearer Tokens)来保护端点

  • JWT

  • 不透明令牌

这在应用程序将其权限管理委托给授权服务器(例如 Okta 或 Ping Identity)的情况下非常方便。资源服务器可以咨询此授权服务器以授权请求。

本节详细介绍了 Spring Security 如何为 OAuth 2.0 不记名令牌提供支持。

关于 JWT不透明令牌 的工作示例可在 Spring Security 示例仓库中找到。

现在我们可以考虑不记名令牌认证在 Spring Security 中的工作方式。首先,我们看到,与 基本认证一样,WWW-Authenticate 头会发送回未认证的客户端

bearerauthenticationentrypoint
图 1. 发送 WWW-Authenticate 头

上图基于我们的 SecurityFilterChain 图。

number 1 首先,用户向未经授权的 /private 资源发出未经认证的请求。

number 2 Spring Security 的 AuthorizationFilter 通过抛出 AccessDeniedException 来表示未经身份验证的请求被“拒绝”。

number 3 由于用户未认证,ExceptionTranslationFilter 启动 认证开始。配置的 AuthenticationEntryPointBearerTokenAuthenticationEntryPoint 的实例,它发送一个 WWW-Authenticate 头。RequestCache 通常是一个 NullRequestCache,它不保存请求,因为客户端能够重放其最初请求的请求。

当客户端收到 WWW-Authenticate: Bearer 头时,它知道应该使用不记名令牌重试。下图展示了不记名令牌的处理流程

bearertokenauthenticationfilter
图 2. 认证不记名令牌

该图基于我们的 SecurityFilterChain 图表构建。

number 1 当用户提交不记名令牌时,BearerTokenAuthenticationFilter 通过从 HttpServletRequest 中提取令牌来创建一个 BearerTokenAuthenticationToken,它是一种 Authentication 类型。

number 2 接下来,HttpServletRequest 被传递给 AuthenticationManagerResolver,它选择 AuthenticationManagerBearerTokenAuthenticationToken 被传递到 AuthenticationManager 进行认证。AuthenticationManager 的具体形式取决于您是配置为 JWT 还是 不透明令牌

number 3 如果认证失败,则 失败

  • SecurityContextHolder 被清除。

  • AuthenticationEntryPoint 被调用,以再次触发 WWW-Authenticate 头的发送。

number 4 如果身份验证成功,则为“成功”。

© . This site is unofficial and not affiliated with VMware.