Spring Security OAuth2 主要两部分功能:1、生成token,2、验证token,最大概的流程进行了一次梳理
1、Server端生成token (post /oauth/token)
AuthorizationServerSecurityConfigurer 在配置阶段 如果允许form表单提交则会经过ClientCredentialsTokenEndpointFilter, 剩下的流程可以总结为生成token、存储token。
生成token:按类型生成token,类型与oauth2四种类型(密码、授权码、客户端、简化)模式相对 存储token: 支持 内存、redis、数据库、等多种方式
2、Resource端验证token (访问受限接口)
ResourceSecurityConfigurer在配置阶段,对Resource进行配置, OAuth2核心过滤器 OAuth2AuthenticationProcessingFilter, 如果请求中存在token 则进行验证,如果不存在则不验证(但是Spring Security会对接口权限进行验证)。
存在token流程:
根据 配置的userInfoEndpointUrl 到 server获取token的授权信息 OAuthAuthentication。
根据返回结果判断token是否有效(如果返回结果结果中存在error表明访问限制: 也就是说server对token无效的处理后,一定要返回非 200的http响应Resource才能认定无效)