Spring Cloud Security 提供了一组用于构建安全的原语 应用程序和服务，只需大惊小怪。声明性模型 可以在外部（或集中）进行大量配置，以便 实施大型合作、远程组件系统， 通常使用*标识管理服务。它也非常 易于在Cloud Foundry等服务平台中使用。建立在 Spring Boot and Spring Security OAuth2 我们可以快速创建以下系统 实现常见模式，如单点登录、令牌中继和令牌 交换。

快速入门

OAuth2 单点登录

这是一个带有HTTP Basic的Spring Cloud“Hello World”应用程序。 身份验证和单个用户帐户：

app.groovy

@Grab('spring-boot-starter-security')
@Controller
class Application {

  @RequestMapping('/')
  String home() {
    'Hello World'
  }

}

您可以运行它并查看密码日志（用户名为“user”）。到目前为止，这只是Spring Boot应用程序的默认设置。​​spring run app.groovy​​

下面是一个带有OAuth2 SSO的Spring Cloud应用程序：

app.groovy

@Controller
@EnableOAuth2Sso
class Application {

  @RequestMapping('/')
  String home() {
    'Hello World'
  }

}

发现差异？这个应用程序实际上的行为与 前一个，因为它不知道它是OAuth2 credentals 还。

您可以非常轻松地在github中注册应用程序，因此请尝试以下情况： 想要在您自己的域中使用生产应用。如果您愿意测试 localhost：8080，然后在应用程序中设置这些属性 配置：

应用程序.yml

security:
  oauth2:
    client:
      clientId: bd1c0a783ccdd1c9b9e4
      clientSecret: 1a9030fbca47a5b2c28e92f19050bb77824b5ad1
      accessTokenUri: https://github.com/login/oauth/access_token
      userAuthorizationUri: https://github.com/login/oauth/authorize
      clientAuthenticationScheme: form
    resource:
      userInfoUri: https://api.github.com/user
      preferTokenInfo: false

运行上面的应用程序，它将重定向到 GitHub 进行授权。如果 您已经登录到GitHub，您甚至不会注意到它已经 认证。仅当你的应用符合以下条件时，这些凭据才有效 在端口 8080 上运行。

限制客户端在获取访问令牌时请求的范围 您可以设置（逗号分隔或 YAML 中的数组）。由 默认情况下，范围为空，由授权服务器 确定默认值应该是什么，通常取决于 它持有的客户端注册。​​security.oauth2.client.scope​​

OAuth2 受保护的资源

您想使用 OAuth2 令牌保护 API 资源吗？这是一个 简单示例（与上面的客户端配对）：

app.groovy

@Grab('spring-cloud-starter-security')
@RestController
@EnableResourceServer
class Application {

  @RequestMapping('/')
  def home() {
    [message: 'Hello World']
  }

}

和

应用程序.yml

security:
  oauth2:
    resource:
      userInfoUri: https://api.github.com/user
      preferTokenInfo: false

更多详情

单点登录

令牌中继

令牌中继是 OAuth2 使用者充当客户端和 将传入令牌转发到传出资源请求。这 使用者可以是纯客户端（如 SSO 应用程序）或资源 服务器。

春季云网关中的客户端令牌中继

如果你的应用也有Spring 云网关嵌入式反向代理然后您 可以要求它将 OAuth2 访问令牌转发到下游服务 它是代理。因此，上面的SSO应用程序可以简单地增强，例如 这：

应用.java

@Autowired
private TokenRelayGatewayFilterFactory filterFactory;

@Bean
public RouteLocator customRouteLocator(RouteLocatorBuilder builder) {
    return builder.routes()
            .route("resource", r -> r.path("/resource")
                    .filters(f -> f.filter(filterFactory.apply()))
                    .uri("http://localhost:9000"))
            .build();
}

或者这个

application.yaml

spring:
  cloud:
    gateway:
      routes:
      - id: resource
        uri: http://localhost:9000
        predicates:
        - Path=/resource
        filters:
        - TokenRelay=

它将（除了登录用户并获取令牌） 将身份验证令牌下游传递到服务（在本例中）。​​/resource​​

要为 Spring Cloud 网关启用此功能，请添加以下依赖项

• ​​org.springframework.boot:spring-boot-starter-oauth2-client​​
• ​​org.springframework.cloud:spring-cloud-starter-security​​

它是如何工作的？筛选器从当前经过身份验证的用户中提取访问令牌， 并将其放在下游请求的请求标头中。

有关完整的工作示例，请参阅此项目。

客户端令牌中继

如果您的应用程序是面向 OAuth2 客户端的用户（即具有声明者），那么它具有来自 Spring Boot 的请求范围。您可以 从此上下文创建自己的上下文和 自动连线，然后上下文将 始终将访问令牌转发到下游，同时刷新访问 令牌在过期时自动。（这些是春天的特点 安全性和春季启动。​​@EnableOAuth2Sso​​​​@EnableOAuth2Client​​​​OAuth2ClientContext​​​​OAuth2RestTemplate​​​​OAuth2ProtectedResourceDetails​​

Zuul 代理中的客户端令牌中继

如果你的应用也有Spring 云 Zuul嵌入式反向代理（使用）然后你 可以要求它将 OAuth2 访问令牌转发到下游服务 它是代理。因此，上面的SSO应用程序可以简单地增强，例如 这：​​@EnableZuulProxy​​

app.groovy

@Controller
@EnableOAuth2Sso
@EnableZuulProxy
class Application {

}

它将（除了登录用户并获取令牌） 将身份验证令牌下游传递到服务。如果这些服务是实现的，那么它们将在 正确的标头。​​/proxy/*​​​​@EnableResourceServer​​

它是如何工作的？注释拉入（您可以在 传统应用程序），这反过来又会触发一些自动配置 a，它本身被激活，因为 Zuul 在 类路径 （via）。筛选器仅从当前经过身份验证的用户中提取访问令牌， 并将其放在下游请求的请求标头中。​​@EnableOAuth2Sso​​​​spring-cloud-starter-security​​​​ZuulFilter​​​​@EnableZuulProxy​​

资源服务器令牌中继

如果您的应用程序有您可能想要中继 传入令牌下游到其他服务。如果您使用 ato 联系下游服务，那么这只是一个 如何创建具有正确上下文的模板的问题。​​@EnableResourceServer​​​​RestTemplate​​

如果您的服务用于对传入进行身份验证 令牌（即它正在使用配置），然后您可以简单地创建一个使用自动连线（它将由 在到达后端代码之前进行身份验证过程）。等效 （使用 Spring Boot 1.4），您可以注入 a并抓取它的 您的配置。例如：​​UserInfoTokenServices​​​​security.oauth2.user-info-uri​​​​OAuth2RestTemplate​​​​OAuth2ClientContext​​​​UserInfoRestTemplateFactory​​​​OAuth2RestTemplate​​

我的配置.java

@Bean
public OAuth2RestTemplate restTemplate(UserInfoRestTemplateFactory factory) {
    return factory.getUserInfoRestTemplate();
}

然后，此 rest 模板将具有身份验证过滤器使用的相同（请求范围），因此您可以 使用它来发送具有相同访问令牌的请求。​​OAuth2ClientContext​​

如果您的应用未使用但仍是客户端 （即它声明者），然后 与 弹簧安全云 任何用户 从安威尔也向前创建 令 牌。默认情况下，此功能作为 MVC 处理程序实现 拦截器，所以它只在Spring MVC中工作。如果您没有使用 MVC 您可以使用自定义过滤器或 AOP 拦截器包装 ANTO 提供相同的功能。​​UserInfoTokenServices​​​​@EnableOAuth2Client​​​​@EnableOAuth2Sso​​​​OAuth2RestOperations​​​​@Autowired​​​​OAuth2Context​​​​AccessTokenContextRelay​​

这是一个基本的 显示使用已创建的自动连线 REST 模板的示例 其他地方（“foo.com”是接受与 周围的应用程序）：

我的控制器.java

@Autowired
private OAuth2RestOperations restTemplate;

@RequestMapping("/relay")
public String relay() {
    ResponseEntity<String> response =
      restTemplate.getForEntity("https://foo.com/bar", String.class);
    return "Success! (" + response.getBody() + ")";
}

如果您不想转发令牌（这是一个有效的 选择，因为您可能想扮演自己，而不是 向您发送令牌的客户端），那么您只需要创建自己的令牌而不是自动连接默认令牌。​​OAuth2Context​​

Feign 客户端还将选取一个拦截器，该拦截器使用 if 它可用，因此他们也应该做一个 令牌中继任何地方。​​OAuth2ClientContext​​​​RestTemplate​​

配置 Zuul 代理的下游身份验证

您可以通过设置控制下游的授权行为。例：​​@EnableZuulProxy​​​​proxy.auth.*​​

应用程序.yml

proxy:
  auth:
    routes:
      customers: oauth2
      stores: passthru
      recommendations: none

在此示例中，“客户”服务获取 OAuth2 令牌中继， “存储”服务获取直通（授权标头为 刚刚通过下游），并且“推荐”服务有其 已删除授权标头。默认行为是执行令牌 如果有可用的令牌，则中继，否则通过。

有关完整详细信息，请参阅代理身份验证属性。