Ich versuche, die OAuth2-Authentifizierung mit JWT-Token zu implementieren. Wenn ich das verstehe, muss ich Anmeldeinformationen an den Autorisierungsserver senden, meine Anmeldeinformationen überprüfen und das signierte JWT-Token zurückgeben. Als nächstes habe ich versucht zu implementieren, WebSecurityConfig
welche erweitert wird WebSecurityConfigurerAdapter
, und dort muss ich festlegen, welche Endpunkte gesichert sind und welche nicht.
Aber meine Frage ist: brauche ich einen Ressourcenserver? Es macht den gleichen Job wie mein Potenzial WebSecurityConfig
oder nicht?
Mein Ziel ist es, eine einfache JWT-Authentifizierung für meine Website zu erstellen.
Sie benötigen den Ressourcenserver, da er Teil der OAuth2-Spezifikation ist :
Ressourcenserver
Der Server, der die geschützten Ressourcen hostet und in der Lage ist, geschützte Ressourcenanforderungen mithilfe von Zugriffstoken zu akzeptieren und darauf zu antworten.
Daher ist es auch Teil von Spring Security OAuth2.
Die Ressourcenserverkonfiguration ist mehr als eine Sicherheitskonfiguration, siehe OAuth 2-Entwicklerhandbuch :
Ressourcenserverkonfiguration
Ein Ressourcenserver (kann mit dem Autorisierungsserver oder einer separaten Anwendung identisch sein) stellt Ressourcen bereit, die durch das OAuth2-Token geschützt sind. Spring OAuth bietet einen Spring Security-Authentifizierungsfilter, der diesen Schutz implementiert. Sie können es mit
@EnableResourceServer
einer@Configuration
Klasse einschalten und (nach Bedarf) mit a konfigurierenResourceServerConfigurer
. Folgende Funktionen können konfiguriert werden:
- tokenServices: Die Bean, die die Token-Services definiert (Instanz von ResourceServerTokenServices).
- resourceId: Die ID für die Ressource (optional, aber empfohlen und wird vom Authentifizierungsserver überprüft, falls vorhanden).
- andere Erweiterungspunkte für den Resourecs-Server (z. B. tokenExtractor zum Extrahieren der Token aus eingehenden Anforderungen)
- Matcher für geschützte Ressourcen anfordern (standardmäßig alle)
- Zugriffsregeln für geschützte Ressourcen (standardmäßig "authentifiziert")
- andere Anpassungen für die geschützten Ressourcen, die vom HttpSecurity-Konfigurator in Spring Security zugelassen werden
Die
@EnableResourceServer
Anmerkung fügtOAuth2AuthenticationProcessingFilter
der Spring Security-Filterkette automatisch einen Filter vom Typ hinzu .
Sie können eine Spring Security-Konfiguration ( WebSecurityConfigurerAdapter
) für andere Anpassungen für die geschützten Ressourcen verwenden, die vom HttpSecurity-Konfigurator in Spring Security zugelassen werden. Es ist jedoch besser, die Ressourcenserverkonfiguration zu verwenden, da:
und es ist der empfohlene Weg.
Dieser Artikel stammt aus dem Internet. Bitte geben Sie beim Nachdruck die Quelle an.
Bei Verstößen wenden Sie sich bitte [email protected] Löschen.
Lass mich ein paar Worte sagen