Spring Security OAuth2 源码分析

Spring Security OAuth2 主要两部分功能：1、生成token，2、验证token，最大概的流程进行了一次梳理

1、Server端生成token （post /oauth/token）

 

  AuthorizationServerSecurityConfigurer 在配置阶段    如果允许form表单提交则会经过ClientCredentialsTokenEndpointFilter， 剩下的流程可以总结为生成token、存储token。

  生成token：按类型生成token，类型与oauth2四种类型（密码、授权码、客户端、简化）模式相对 存储token: 支持 内存、redis、数据库、等多种方式

 

2、Resource端验证token (访问受限接口）

 

ResourceSecurityConfigurer在配置阶段，对Resource进行配置， OAuth2核心过滤器 OAuth2AuthenticationProcessingFilter， 如果请求中存在token 则进行验证，如果不存在则不验证（但是Spring Security会对接口权限进行验证)。

存在token流程：

            根据 配置的userInfoEndpointUrl 到 server获取token的授权信息 OAuthAuthentication。 

            根据返回结果判断token是否有效（如果返回结果结果中存在error表明访问限制： 也就是说server对token无效的处理后，一定要返回非 200的http响应Resource才能认定无效）