利用Spring Security OAuth2 Resource Server保护内部霸王餐管理接口

最新推荐文章于 2026-01-03 16:32:14 发布
原创 最新推荐文章于 2026-01-03 16:32:14 发布 · 298 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #spring boot

利用Spring Security OAuth2 Resource Server保护内部霸王餐管理接口

在“吃喝不愁”App的后端系统中,霸王餐活动管理接口(如创建、审核、发放)属于高权限操作,必须严格限制访问来源。为避免使用传统 Session 或 API Key 的安全缺陷,我们采用 Spring Security OAuth2 Resource Server 模式,基于 JWT 令牌验证请求合法性,确保只有经过授权的服务或管理员可调用。

1. 项目依赖配置

使用 Spring Boot 3.x + Spring Security 6,Maven 依赖如下:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在这里插入图片描述

2. 配置Resource Server使用JWT

application.yml 中指定公钥或 JWKS URI(以 Auth0 / Keycloak / 自建 Auth Server 为例):

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          jwk-set-uri: https://your-auth-server/.well-known/jwks.json
          # 或使用本地公钥:public-key-location: classpath:public.key

3. 定义受保护的霸王餐管理接口

package baodanbao.com.cn.bajie.controller;

import baodanbao.com.cn.bajie.model.FreeMealRequest;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/api/internal/free-meal")
public class FreeMealAdminController {

    @PostMapping("/create")
    public String createFreeMeal(@RequestBody FreeMealRequest request) {
        // 创建霸王餐活动逻辑
        return "Created";
    }

    @PutMapping("/approve/{id}")
    public String approveFreeMeal(@PathVariable Long id) {
        // 审核通过逻辑
        return "Approved";
    }

    @DeleteMapping("/cancel/{id}")
    public String cancelFreeMeal(@PathVariable Long id) {
        // 取消活动逻辑
        return "Cancelled";
    }
}

4. 配置Security过滤链与权限规则

package baodanbao.com.cn.bajie.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class ResourceServerConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/api/internal/free-meal/create").hasAuthority("SCOPE_free_meal:write")
                .requestMatchers("/api/internal/free-meal/approve/**").hasRole("ADMIN")
                .requestMatchers("/api/internal/free-meal/cancel/**").hasAnyRole("ADMIN", "OPERATOR")
                .anyRequest().authenticated()
            )
            .oauth2ResourceServer(oauth2 -> oauth2.jwt(jwt -> {}));
        return http.build();
    }
}

注意:

  • hasAuthority("SCOPE_free_meal:write") 对应 JWT 中的 scope 声明(如 "scope": "free_meal:write profile")。
  • hasRole("ADMIN") 要求 JWT 的 realm_access.rolesgroups 包含 ROLE_ADMIN(Spring Security 会自动加前缀 ROLE_)。

5. 自定义JWT声明映射(适配不同IDP)

若认证服务器(如 Auth0)将角色放在 https://baodanbao.com.cn/roles 自定义字段中,需重写 GrantedAuthoritiesConverter:

package baodanbao.com.cn.bajie.config;

import org.springframework.core.convert.converter.Converter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.stereotype.Component;

import java.util.Collection;
import java.util.Collections;
import java.util.List;
import java.util.stream.Collectors;

@Component
public class CustomJwtGrantedAuthoritiesConverter implements Converter<Jwt, Collection<GrantedAuthority>> {

    @Override
    public Collection<GrantedAuthority> convert(Jwt jwt) {
        List<String> roles = jwt.getClaimAsStringList("https://baodanbao.com.cn/roles");
        if (roles == null) {
            return Collections.emptyList();
        }
        return roles.stream()
                .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                .collect(Collectors.toList());
    }
}

并在 Security 配置中注册:

@Bean
public JwtAuthenticationConverter jwtAuthenticationConverter() {
    JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
    converter.setJwtGrantedAuthoritiesConverter(new CustomJwtGrantedAuthoritiesConverter());
    return converter;
}

// 在 filterChain 中补充:
.oauth2ResourceServer(oauth2 -> oauth2
    .jwt(jwt -> jwt.jwtAuthenticationConverter(jwtAuthenticationConverter()))
)

6. 测试接口调用(带有效JWT)

使用 curl 模拟携带合法 Token 的请求:

curl -X POST http://localhost:8080/api/internal/free-meal/create \
  -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx" \
  -H "Content-Type: application/json" \
  -d '{"shopId":"1001","quota":50}'

若 Token 缺失、过期或权限不足,将返回 401 Unauthorized403 Forbidden

7. 本地开发支持:Mock JWT(仅测试环境)

为便于本地调试,可启用 Mock JWT:

@Profile("dev")
@Configuration
public class DevSecurityConfig {

    @Bean
    @Primary
    public JwtDecoder jwtDecoder() {
        return token -> Jwt.withTokenValue(token)
                .header("alg", "none")
                .claim("sub", "dev-user")
                .claim("https://baodanbao.com.cn/roles", List.of("ADMIN"))
                .claim("scope", "free_meal:write")
                .build();
    }
}

并激活 dev profile。

本文著作权归吃喝不愁app开发者团队,转载请注明出处!

Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8964
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
热门推荐
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 中,TokenStore 是一个负责存储和管理令牌的组件,通过调用 TokenStore 的 storeAccessToken 方法,可以将生成的令牌存储在数据库中。_tokenStore.removeAccessToken 方法用于删除原有的...
精选资源
spring security oauth2.0 (讲义+代码)
03-10
Spring Security提供了`ClientDetailsService` 接口管理这些信息。 授权流程包括授权码模式、隐式模式、密码模式和客户端凭据模式。其中,授权码模式是最常见和安全的,它涉及到了浏览器重定向和授权码的交换。在...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2集成短信验证码登录以及第三方登录 Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中...
SpringBoot集成配置文件加解密
雅俗共赏的博客
12-30 194
摘要:本文介绍了在SpringBoot中使用Jasypt实现配置文件加解密的方法。通过引入jasypt-spring-boot-starter依赖并自定义StringEncryptor组件,可对敏感配置信息进行SM4加密。使用时只需将加密值用ENC()包裹配置即可。其原理是SpringBoot启动时,Jasypt会拦截PropertySource加载过程,自动解密ENC()包裹的配置值。该方法能有效保护配置文件中的敏感信息,如数据库密码等。
(N_096)基于springboot高校社团管理系统
2501_93638630的博客
12-29 741
摘要:本系统基于SpringBoot+Freemarker+JPA技术开发,采用IDEA工具和MySQL5.7数据库。系统分为用户前台和管理员后台两大模块:前台提供社团浏览、活动报名、留言等功能;后台包含用户管理、社团管理、活动审批等管理功能。主要实现了社团信息展示、成员管理、活动组织等核心业务,为校园社团提供了一套完整的数字化管理解决方案。
Spring 的配置文件没有小绿叶
qq_62079814的博客
12-30 321
说明你的项目未被 IDEA 识别为。
SpringBoot项目中 @Configuration 注解的作用
GISERLiu的博客
12-29 428
标记配置类。配合@Bean定义 Spring 管理的 Bean。保证@Bean方法返回单例(默认单例)。是注解式配置替代 XML 配置的重要方式。
SpringSpring Batch 详细介绍
瘦到被风吹走的博客
12-28 943
Spring Batch 是一个基于 Spring 框架的企业级批处理解决方案,专门用于处理大规模数据任务。核心功能包括事务管理、作业统计、容错机制和资源管理,适用于 ETL、报表生成、数据同步等场景。框架采用分层架构,包含 Job(作业)、Step(步骤)和 Chunk(分块)三个核心概念,通过 ItemReader(数据读取)、ItemProcessor(数据处理)和 ItemWriter(数据写入)组件实现完整批处理流程。提供多种数据源适配器,支持游标/分页读取、数据转换验证和批量写入,但不适用于实时
58_Spring AI 干货笔记之 ElevenLabs 文本转语音 (TTS)
在科技的浪潮中,我们寻找着创新的火种,在代码的海洋里,我们编织着智慧的网。腾飞开源,就是这样一个由技术精英汇聚而成的博客平台,我们致力于分享在Java、Python、IoT和人工智能等领域的最新研究成果和实战经验。 在腾飞开源的博客上,你会看到紧跟技术前
01-01 1120
ElevenLabs 文本转语音 (TTS) 摘要: 本文介绍了如何在 Spring AI 项目中集成 ElevenLabs 的高质量、多语言文本转语音 (TTS) 模型。文章详细说明了获取 API 密钥、通过 starter 依赖启用自动配置,以及利用属性前缀进行全局和 TTS 专用参数配置的步骤。核心特性包括通过 ElevenLabsTextToSpeechOptions 在运行时灵活设置语音、模型、输出格式及丰富的语音参数(如稳定性、相似度),并支持通过 Voices API 发现可用声音及实时音频流
blob是啥
wniuniu_的博客
12-28 1035
Onode: 代表一个 Ceph 对象(如Extent: 逻辑段,表示对象内某个偏移量(Offset)到长度(Length)的区间。Blob物理存储单元的抽象。它代表磁盘上的一组块,是 BlueStore 执行**压缩(Compression)和校验(Checksum)**的最小独立边界。简单类比:如果 Onode 是“一本书”,Extent 是“书页的页码”,那么Blob 就是“装订在一起的一叠纸”。这叠纸不仅存了文字(数据),边缘还盖了防伪印章(Checksum)。你说得对,
SpringBoot 配置文件】
最新发布
xiaobai_ljjhaha的博客
01-03 344
SpringBoot 支持并定义了配置文件的格式,也在另一个层面达到了规范其他框架集成到 SpringBoot 的目的。配置文件主要是为了解决硬编码带来的问题,把可能会发生改变的信息,放在一个集中的地方,当我们启动某个程序时,应用程序从配置文件中读取数据,并加载运行。不能用 @Value 来读取配置中的对象了,此时要使用另一个注解 @ConfigurationProperties 来读取。方式与properties方式相同,使用@Value注解即可。yml 是树形结构的配置文件,它的基础语法是。
Spring Cache 全景指南
czlczl20020925的博客
12-29 687
不是一个具体的缓存实现(它不是 Redis,也不是 EhCache),而是一套缓存抽象层(Cache Abstraction)。
Spring IOC&DI--方法注解@Bean】
xiaobai_ljjhaha的博客
12-28 173
本文介绍了Spring框架中方法注解@Bean的使用场景和方法。@Bean用于将外部类或需要多个实例的类对象注册到Spring容器中,需配合类注解使用。通过示例展示了如何定义多个同类型对象(如多数据源场景)以及如何通过name属性为Bean重命名。获取Bean对象时,可通过类型或名称从Spring上下文中获取。@Bean注解提供了灵活的配置方式,解决了类注解无法满足的特殊需求。
最新SpringAI-1.1.2接入openai兼容模型
再无此人的博客
12-30 410
本文介绍了如何快速接入兼容OpenAI的LLM模型(以百度千帆为例)使用SpringAI框架。主要内容包括:1) 项目配置(Gradle依赖和yml文件设置);2) 解决API路径不匹配等常见问题;3) 实现三种对话模式(阻塞式、结构化输出和流式响应)的示例代码。文章提供了完整的配置示例和测试方法,特别强调了流式响应的实现要点。适用于Spring Boot 3.5.9和SpringAI 1.1.2版本,帮助开发者快速集成第三方LLM服务。
基于 Spring AI 开发智能邮件分类器
futurn_hero的博客
12-30 792
创建。
SpringBoot交通管理在线服务系统源码 | Java项目免费下载 – 幽络源
幽络源
12-28 288
本文介绍了基于SpringBoot的交通管理在线服务系统源码,该系统实现了驾驶证业务、机动车业务、违法处理及新闻资讯四大核心功能模块。采用MVC架构设计,包含用户管理、业务申请审核、违法处理、新闻发布等功能,支持模糊查询和状态管理。系统数据库结构规范,包含用户表、业务表等核心数据表,具有良好的扩展性。该源码为学习政务系统开发提供了实用参考,适合JavaWeb开发者研究使用。
Spring Boot + Spring Security
GISERLiu的博客
12-29 345
Spring Security 就会生效。Spring Boot 启动时就会:✔ 自动创建一整套 Security Filter✔ 自动保护所有接口✔ 自动生成/login登录页(跳转到Spring Boot的默认 formLogin登录页面,这个路径并不是自己配置的路劲)✔ 自动要求所有请求必须登录。
帮我配置一个 spring Security oauth2 resource server 使用传统servlet模式 案例
11-26
<think> 我们正在讨论的是在传统Servlet模式下配置Spring Security OAuth2资源服务器(Resource Server)。根据用户需求,他想要一个使用传统Servlet模式(即基于Spring MVC,非响应式)的配置案例。 注意:由于Spring Cloud Gateway 4.0.9是响应式的,所以传统Servlet配置不适用于它。但用户明确要求传统Servlet模式,因此我们假设该配置用于一个基于Spring MVC的普通Spring Boot应用(例如一个微服务内部的安全配置)。 在传统Servlet应用中,我们使用`HttpSecurity`来配置安全,而不是响应式的`ServerHttpSecurity`。 根据引用[1]中提供的例子,我们可以看到一个使用不透明令牌(Opaque Token)的配置。但是用户可能也需要JWT的配置。我们将分别提供两种配置。 同时,引用[2]和引用[3]提供了一些关于OAuth2客户端注册和授权类型的背景信息,但我们的重点在资源服务器配置。 以下我们将分别给出使用JWT和不透明令牌(Opaque Token)的配置案例。 ### 1. 使用JWT的配置案例 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorizeRequests -> authorizeRequests .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .oauth2ResourceServer(oauth2 -> oauth2 .jwt(jwt -> jwt.jwtAuthenticationConverter(jwtAuthenticationConverter())) ); return http.build(); } // 可选:自定义JWT转换器,将JWT中的声明转换为Spring Security的权限 private JwtAuthenticationConverter jwtAuthenticationConverter() { JwtAuthenticationConverter converter = new JwtAuthenticationConverter(); // 可以设置一个自定义的JWT转换器,用于从JWT中提取权限 // converter.setJwtGrantedAuthoritiesConverter(...); return converter; } } ``` 在`application.properties`或`application.yml`中配置JWT验证所需的信息(通常是issuer-uri或jwk-set-uri): ```properties spring.security.oauth2.resourceserver.jwt.issuer-uri=https://your-issuer-uri ``` ### 2. 使用不透明令牌(Opaque Token)的配置案例 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorizeRequests -> authorizeRequests .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .oauth2ResourceServer(oauth2 -> oauth2 .opaqueToken(opaqueToken -> opaqueToken .introspector(myIntrospector()) // 需要自定义introspector或者通过配置属性 ) ); return http.build(); } // 通常我们不需要自己实现Introspector,可以通过配置文件设置introspection-uri和client信息 // 但这里为了完整,可以这样写,不过更推荐使用配置文件 /* @Bean public OpaqueTokenIntrospector introspector() { return new NimbusOpaqueTokenIntrospector("https://your-introspection-uri", "client-id", "client-secret"); } */ } ``` 然后在配置文件中配置不透明令牌的验证信息: ```properties spring.security.oauth2.resourceserver.opaquetoken.introspection-uri=https://your-introspection-uri spring.security.oauth2.resourceserver.opaquetoken.client-id=your-client-id spring.security.oauth2.resourceserver.opaquetoken.client-secret=your-client-secret ``` ### 重要说明: - 上述配置适用于基于Servlet的Spring Boot应用(使用Spring MVC)。 - 在资源服务器配置中,我们使用`.oauth2ResourceServer()`来启用OAuth2资源服务器支持。 - 对于JWT,我们使用`.jwt()`配置,并可以自定义`JwtAuthenticationConverter`。 - 对于不透明令牌,我们使用`.opaqueToken()`配置,并需要指定令牌的验签端点(introspection endpoint)和客户端凭证。 ### 自定义权限验证 引用[1]中展示了使用`hasScope`来检查权限,我们可以这样使用: ```java import static org.springframework.security.oauth2.server.resource.authentication.JwtGrantedAuthoritiesConverter; // 在授权规则中,我们可以这样写: .requestMatchers("/contacts/**").access(hasScope("contacts")) ``` 但是注意,`hasScope`是Spring Security OAuth2提供的一个工具方法,它要求令牌中包含相应的scope。在使用JWT时,默认情况下,scope在`scopes`声明或`scope`声明中(或者通过自定义转换器将其提取为权限)。 ### 总结 以上案例展示了在传统Servlet应用中配置OAuth2资源服务器的两种方式:JWT和不透明令牌。用户需要根据自己的授权服务器类型选择合适的方式,并在配置文件中提供相应的端点信息和客户端凭证。 §§相关问题§§ 1. 如何在传统Servlet应用中自定义JWT的权限提取? 2. 不透明令牌和JWT在资源服务器配置中的主要区别是什么? 3. 如何同时支持JWT和不透明令牌? 4. 在资源服务器中如何实现方法级安全控制? </think> 以下是传统 Servlet 模式下的 Spring Security OAuth2 资源服务器配置案例: ### 传统 Servlet 模式配置案例 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter; import org.springframework.security.web.SecurityFilterChain; import static org.springframework.security.oauth2.server.resource.authentication.JwtGrantedAuthoritiesConverter; @Configuration @EnableWebSecurity public class ResourceServerConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/public/**").permitAll() .requestMatchers("/contacts/**").access(hasScope("contacts")) // 使用作用域控制 .requestMatchers("/messages/**").access(hasScope("messages")) .anyRequest().authenticated() ) .oauth2ResourceServer(oauth2 -> oauth2 .jwt(jwt -> jwt .jwtAuthenticationConverter(jwtAuthenticationConverter()) // JWT 转换器 ) // 或者使用不透明令牌: // .opaqueToken(opaqueToken -> {...}) ); return http.build(); } // 自定义 JWT 权限转换 @Bean public JwtAuthenticationConverter jwtAuthenticationConverter() { JwtAuthenticationConverter converter = new JwtAuthenticationConverter(); JwtGrantedAuthoritiesConverter authoritiesConverter = new JwtGrantedAuthoritiesConverter(); authoritiesConverter.setAuthorityPrefix("ROLE_"); // 设置权限前缀 authoritiesConverter.setAuthoritiesClaimName("scp"); // 设置声明字段名 converter.setJwtGrantedAuthoritiesConverter(authoritiesConverter); return converter; } } ``` ### 配置文件示例 (`application.yml`) ```yaml spring: security: oauth2: resourceserver: jwt: issuer-uri: https://your-auth-server.com # JWT 发行者 URI jwk-set-uri: https://your-auth-server.com/oauth2/jwks # JWK 端点 # 或者使用不透明令牌配置: # opaque-token: # introspection-uri: https://your-auth-server.com/oauth2/introspect # client-id: your-client-id # client-secret: your-client-secret ``` ### 关键配置说明: 1. **授权配置**: - `requestMatchers()` 定义路径匹配规则 - `access(hasScope())` 实现基于 OAuth2 作用域的访问控制 - `authenticated()` 要求认证访问 2. **资源服务器类型**: - **JWT 模式**:使用 `.jwt()` 配置,需要提供 `issuer-uri` 或 `jwk-set-uri` - **不透明令牌模式**:使用 `.opaqueToken()` 配置,需要提供 `introspection-uri` 和客户端凭证 3. **自定义权限映射**: - `JwtAuthenticationConverter` 将 JWT 声明转换为权限 - 可配置声明字段名 (`scp`, `roles` 等) 和权限前缀 4. **客户端配置**(引用[2]): ```yaml spring: security: oauth2: client: registration: okta: client-id: client-id client-secret: client-secret client-authentication-method: client_secret_post authorization-grant-type: authorization_code ``` ### 认证流程说明: 1. 客户端携带访问令牌访问资源 2. 资源服务器通过配置的端点验证令牌: - JWT 模式:本地验证签名和声明 - 不透明令牌模式:调用 introspection 端点验证[^1] 3. 将令牌中的权限映射为 Spring Security 权限 4. 执行配置的访问控制规则 > **重要提示**:此配置仅适用于传统 Servlet 应用(Spring MVC),**不适用于** Spring Cloud Gateway 等响应式应用。在响应式环境中必须使用 `ServerHttpSecurity`[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值