Spring Security OAuth2.0(18):资源服务测试

📅 2026/7/19 15:49:08 👁️ 阅读次数 📝 编程学习
Spring Security OAuth2.0(18):资源服务测试

本章代码已分享至Gitee:https://gitee.com/lengcz/distributed-security01.git

文章目录

  • 资源服务器配置
  • 编写资源
  • 配置资源服务
  • 验证token
  • 添加安全访问控制
  • 查看令牌权限
  • 问题

资源服务器配置

@EnableResourceServer注解到一个@Configuration配置类上,并且必须使用ResourceServerConfigurer这个配置对象来进行配置(可以选择继承自ResourceServerConfigurerAdapter然后覆写其中的方法,参数就是这个对象的实例),下面是一些可以配置的属性:
ResourceServerSecurityConfigurer中主要包括:

  • tokenServices: ResourceServerTokenServices类的实例,用来实现令牌服务。
  • tokenStore:TokenStore类的实例,指定令牌如何访问,与tokenServices配置可选
  • resourceId:这个资源服务的ID,这个属性是可选的,但是推荐设置并在授权服务中进行验证。
  • 其他的扩展属性例如tokenExtrator令牌提取器用来提取请求中的令牌。

HttpSecurity配置这个与Spring Security 类似:

  • 请求匹配器,用来设置需要进行保护的资源路径,默认的情况下是保护资源服务的全部路径。
  • 通过http.authorizeRequests()来设置受保护的访问规则
  • 其他的自定义权限保护规则通过HttpSecurity来进行配置。

@EnableResourceServer 注解自动增加了一个类型为OAuth2AuthenticationProcessingFilter的过滤器链。

编写资源

在order模块下创一个资源

@RestControllerpublicclassOrderController{@GetMapping("r1")@PreAuthorize("hasAnyAuthority('p1')")// 拥有p1权限可以访问此资源publicStringr1(){return"资源1";}}

配置资源服务

在order模块下,创建配置 ResourceServerConfig

packagecom.it2.security.distributed.order.config;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.config.http.SessionCreationPolicy;importorg.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;importorg.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;importorg.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;importorg.springframework.security.oauth2.provider.token.RemoteTokenServices;importorg.springframework.security.oauth2.provider.token.ResourceServerTokenServices;@Configuration@EnableResourceServerpublicclassResourceServerConfigextendsResourceServerConfigurerAdapter{publicstaticfinalStringRESOURCE_ID="res1";@Overridepublicvoidconfigure(ResourceServerSecurityConfigurerresources)throwsException{resources.resourceId(RESOURCE_ID)//资源id.tokenServices(tokenService())//验证令牌的服务.stateless(true);}@Overridepublicvoidconfigure(HttpSecurityhttp)throwsException{http.authorizeRequests().antMatchers("/**").access("#oauth2.hasScope('all')").and().csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);}}

验证token

ResourceServerTokenServices 是组成授权服务的另一半,如果你的授权服务器和资源服务在同一个应用程序的话,你可以使用DefaultTokenServices,这样的话,你就不用考虑关于实现所有必要接口的接口的一致性问题。如果你的资源服务器是分离开的,那么你就需必须确保能够有匹配授权服务提供的ResourceServerTokenServices,它知道如何对令牌进行解码。

令牌解析方法:
使用DefaultTokenServices 在资源服务器本地配置令牌存储,解码,解析方式
使用RemoteTokenServices 资源服务器通过HTTP 请求来解码令牌,每次都请求授权服务器端点/oauth/check_token

使用授权服务的/oauth/check_token 端点你需要在授权服务将这个端点暴露出去,以便资源服务可以进行访问,这在授权服务配置中提到过,下面是一个例子,已经在授权中配置了 /oauth/check_token和/oauth/token_key这两个端点

@Overridepublicvoidconfigure(AuthorizationServerSecurityConfigurersecurity)throwsException{security.tokenKeyAccess("permitAll()")//oauth/token_key 公开.checkTokenAccess("permitAll()")//oauth/check_token 公开.allowFormAuthenticationForClients();//表单认证,申请令牌}

添加安全访问控制

*必须配置HttpSecurity ,否则会导致没有该资源权限也能访问。

在order的config下添加安全访问控制

importorg.springframework.context.annotation.Configuration;importorg.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled=true)//开启不同的方法权限注解publicclassWebSecurityConfigextendsWebSecurityConfigurerAdapter{//配置安全拦截机制protectedvoidconfigure(HttpSecuritysecurity)throwsException{security.csrf().disable().authorizeRequests().antMatchers("/r/**").authenticated()//所有的/r/**的请求必须认证通过.anyRequest().permitAll();//除此之外的请求,都可以访问}}

查看令牌权限

http://localhost:53020/uaa/oauth/check_token

问题

这种方式的缺点:每次请求进行鉴权时,都需要请求远程接口,请求量大时,这种网络请求将会占用大量网络资源。