OAuth 2.0 资源服务器

Spring Security 支持使用两种形式的 OAuth 2.0 承载令牌 来保护端点

这在应用程序已将其授权管理委托给 授权服务器（例如 Okta 或 Ping Identity）的情况下非常有用。资源服务器可以咨询此授权服务器以授权请求。

本节详细介绍了 Spring Security 如何提供对 OAuth 2.0 承载令牌 的支持。

现在我们可以考虑承载令牌身份验证在 Spring Security 中是如何工作的。首先，我们看到，与 基本身份验证 一样，WWW-Authenticate 标头会发送回未经身份验证的客户端

上图基于我们的 SecurityFilterChain 图表。

首先，用户对未经授权的用户未经身份验证的 /private 资源发出请求。

Spring Security 的 AuthorizationFilter 指示未经身份验证的请求被拒绝，方法是抛出 AccessDeniedException。

由于用户未经身份验证，ExceptionTranslationFilter 会启动开始身份验证。配置的 AuthenticationEntryPoint 是 BearerTokenAuthenticationEntryPoint 的实例，它会发送 WWW-Authenticate 标头。RequestCache 通常是 NullRequestCache，它不会保存请求，因为客户端能够重放它最初请求的请求。

当客户端收到 WWW-Authenticate: Bearer 标头时，它就知道应该使用承载令牌重试。下图显示了处理承载令牌的流程

该图基于我们的 SecurityFilterChain 图表。

当用户提交其承载令牌时，BearerTokenAuthenticationFilter 会创建一个 BearerTokenAuthenticationToken，它是一种 Authentication，方法是从 HttpServletRequest 中提取令牌。

接下来，HttpServletRequest 将传递给 AuthenticationManagerResolver，它会选择 AuthenticationManager。BearerTokenAuthenticationToken 将传递到 AuthenticationManager 以进行身份验证。AuthenticationManager 的外观细节取决于您是为 JWT 还是 不透明令牌 配置的。

如果身份验证失败，则失败

如果身份验证成功，则成功。