Spring Authorization Server 已上线 Spring Initializr！

工程 | 史蒂夫·里森伯格 | 2023年5月24日 | ...

今天，我很高兴地宣布您拥有了一项新的超能力：使用 Spring Authorization Server 在 Spring Initializr 上创建应用程序！

没错，是时候开始您的 OAuth2 之旅，成为您一直都知道自己能成为的英雄了！在这篇文章中，我将解释如何充分利用您的新超能力以及去哪里学习更多。

什么是 Spring Authorization Server？

Spring Authorization Server 是一个基于 Spring Security 构建的开源框架，允许您创建自己的符合标准的 OAuth2 授权服务器或 OpenID Connect 提供商。它实现了各种 OAuth2 和 OIDC 相关规范中的许多协议端点，使您可以更专注于应用程序和用户，而不是流程和规范。由于它位于 Spring Security 之上，因此也可以用于创建认证中心，以将其他认证协议适配到 OAuth2。

您可以在参考指南的概述中了解更多关于 Spring Authorization Server 的信息。

入门

从试图熄灭所有生命的邪恶生物手中拯救世界的旅程总要从某个地方开始，您成为 OAuth2 英雄的旅程也毫不例外！要开始，请下载此示例应用程序，或者前往start.spring.io并将 OAuth2 Authorization Server 依赖项添加到您的项目中。

然后，在您喜欢的 IDE 中打开项目，并将以下内容添加到 application.properties

spring.security.oauth2.authorizationserver.client.client-1.registration.client-id=admin-client
# the client secret is "secret" (without quotes)
spring.security.oauth2.authorizationserver.client.client-1.registration.client-secret={bcrypt}$2a$10$jdJGhzsiIqYFpjJiYWMl/eKDOd8vdyQis2aynmFN0dgJ53XvpzzwC
spring.security.oauth2.authorizationserver.client.client-1.registration.client-authentication-methods=client_secret_basic
spring.security.oauth2.authorizationserver.client.client-1.registration.authorization-grant-types=client_credentials
spring.security.oauth2.authorizationserver.client.client-1.registration.scopes=user.read,user.write

或者，您可以将 application.properties 重命名为 application.yml 并添加以下内容

spring:
  security:
    oauth2:
      authorizationserver:
        client:
          client-1:
            registration:
              client-id: "admin-client"
              # the client secret is "secret" (without quotes)
              client-secret: "{bcrypt}$2a$10$jdJGhzsiIqYFpjJiYWMl/eKDOd8vdyQis2aynmFN0dgJ53XvpzzwC"
              client-authentication-methods: "client_secret_basic"
              authorization-grant-types: "client_credentials"
              scopes: "user.read,user.write"

要启动应用程序，请运行以下命令

./gradlew bootRun

这将为您提供一个开箱即用的应用程序，具有以下功能

一个通过 Spring Security 保护的基于 servlet 的 Web 应用程序
一个符合标准的授权服务器，带有一个用于获取 OAuth2 访问令牌 (JWT) 的令牌端点
一个生成的内存中 RSA 密钥对，将用于签署 JWT
一个 JWK-Set 端点¹，用于获取生成的公钥
一个 OAuth2 授权服务器元数据端点²，用于发现授权服务器配置
一个 OpenID Connect 提供商配置端点³，用于发现 OIDC 提供商配置
一个 OAuth2 自省端点，用于使用不透明令牌或获取有关令牌的信息（包括 JWT）
一个 OAuth2 撤销端点，用于撤销刷新令牌（或不透明访问令牌）
一个在授权服务器中注册的单一内存中客户端（带有预哈希密钥），以支持客户端凭据流

当然，功能不止于此，您可以查看功能列表以获取完整列表。

获取访问令牌

那么我们能用它做什么呢？使用上面的例子，我们将从最容易理解的客户端凭据流开始。我将在命令行上使用 HTTPie 进行演示，您可以在家（或工作中）跟着操作。

运行以下命令

http -f POST :8080/oauth2/token grant_type=client_credentials scope='user.read' -a admin-client:secret

这将产生类似以下的响应

{
    "access_token": "eyJraWQiOiJhMWZjM2JhOC0zY2IwLTRkZjAtYTQwNS03ZDhhY2YxYTY4NGIiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJhZG1pbi1jbGllbnQiLCJhdWQiOiJhZG1pbi1jbGllbnQiLCJuYmYiOjE2ODQ1MjYzOTgsInNjb3BlIjpbInVzZXIucmVhZCJdLCJpc3MiOiJodHRwOi8vbG9jYWxob3N0OjgwODAiLCJleHAiOjE2ODQ1MjY2OTgsImlhdCI6MTY4NDUyNjM5OH0.sHDGoQGDpdBuhvdiIpFeeCtTUeU860FBeV23rS6Zqb8tjq_Pytj_Y4Xl6pBB2R5rTAZdMg0cwLvICVYBz-x-hGz2UbHFtYGmo24byb3iKGqBb2BjtY5mMuYQOdnW_PgUVV4vtElhTYkkN_uET4CZ3zxIhgPEc2Yvtt0-d2lGwXzkDiHb_US1zDSUO36nqs4cesMD-yzy5tVmr1e2c6Klojyv6nFN1edfTn7Ci5GvEeB4lDnQdm3ZJr4fyxSiSrq7T34ghj6fMqYn_-lazpoc-wWPB5I35NM0TkUyDw2e_XobqIm6oXG0tBDujL2SK6P05n5MDKkGhgsQlT_ER9gmqA",
    "expires_in": 299,
    "scope": "user.read",
    "token_type": "Bearer"
}

响应中的 access_token 是一个签名的 JWT，可用于向具有 user.read 范围的 OAuth2 资源服务器发出认证请求，以访问受保护资源。换句话说，只需一个 Spring Boot 应用程序和几个属性，我们就能轻松地铸造签名的 JWT 并开始使用 OAuth2 保护应用程序。当然，使用 Spring Security 设置资源服务器也同样简单，但我将把这作为对您未曾发现的超能力的一次考验。

自省访问令牌

为了保持简单，我们使用自省端点测试这个令牌。

注意：请记住，令牌将在 5 分钟后过期。

运行以下命令，确保将实际的 access_token 粘贴到示例中

export TOKEN=eyJraW...
http -f POST :8080/oauth2/introspect token=$TOKEN -a admin-client:secret

这将产生类似以下的响应

{
    "active": true,
    "aud": [
        "admin-client"
    ],
    "client_id": "admin-client",
    "exp": 1684526698,
    "iat": 1684526398,
    "iss": "https://:8080",
    "nbf": 1684526398,
    "scope": "user.read",
    "sub": "admin-client",
    "token_type": "Bearer"
}

如果您看到这个响应

{
    "active": false
}

那么令牌很可能已过期。

如果您想深入了解正在发生的事情，可以启用跟踪日志记录以获取额外的调试详细信息。您还可以将令牌的过期时间缩短到极短，例如 30 秒，以便更容易获得过期令牌。

将以下内容添加到您的 application.properties

logging.level.org.springframework.security=trace
spring.security.oauth2.authorizationserver.client.client-1.token.access-token-time-to-live=30s

或者如果您使用 application.yml，请添加以下内容

logging:
  level:
    org.springframework.security: trace

spring:
  security:
    oauth2:
      authorizationserver:
        client:
          client-1:
            registration:
              ...
            token:
              access-token-time-to-live: 30s

然后重启应用程序，并再次尝试上述步骤。发出自省请求后，您将看到类似以下的行

FilterChainProxy : Trying to match request against DefaultSecurityFilterChain [...] (1/2)
FilterChainProxy : Securing POST /oauth2/introspect
FilterChainProxy : Invoking DisableEncodeUrlFilter (1/25)
...

有两件有趣的事情正在发生。在日志中的几行之后，您将看到类似以下的输出

...
FilterChainProxy                   : Invoking OAuth2ClientAuthenticationFilter (14/25)
ProviderManager                    : Authenticating request with JwtClientAssertionAuthenticationProvider (1/18)
ProviderManager                    : Authenticating request with ClientSecretAuthenticationProvider (2/18)
ClientSecretAuthenticationProvider : Retrieved registered client
ClientSecretAuthenticationProvider : Validated client authentication parameters
ClientSecretAuthenticationProvider : Authenticated client secret
OAuth2ClientAuthenticationFilter   : Set SecurityContextHolder authentication to OAuth2ClientAuthenticationToken
...

这告诉我们客户端（我们的 CLI）通过 ClientSecretAuthenticationProvider 使用 HTTP 基本认证成功进行了认证。这就是为什么我们收到 200 OK 响应，但通过日志确认令牌自省请求成功会很好。几行之后，您将看到这样的输出

...
FilterChainProxy                         : Invoking OAuth2TokenIntrospectionEndpointFilter (22/25)
ProviderManager                          : Authenticating request with OAuth2TokenIntrospectionAuthenticationProvider (1/18)
TokenIntrospectionAuthenticationProvider : Retrieved authorization with token
TokenIntrospectionAuthenticationProvider : Did not introspect token since not active
...

在这里我们看到 OAuth2TokenIntrospectionAuthenticationProvider 正在处理请求，但令牌未激活。因此，我们可以确认请求成功且令牌已过期。

下一步是什么？

我们只触及了您新超能力所能做的事情的皮毛！我希望您记住的最重要的事情是，您现在可以使用 Spring Initializr 创建自己的个人 OAuth2 和 OpenID Connect 游乐场，其中包含 Spring Authorization Server。

当您准备好时，我鼓励您阅读参考指南，其中包含有关每个功能和可用配置选项的详细信息。我特别推荐操作指南：如何使用社交登录进行认证，这是学习和探索的好方法。

也许了解 OAuth2 和 Spring Authorization Server 的最佳方式是构建一个包含（至少）三个应用程序的示例 OAuth2 架构

OAuth2 客户端（使用 OpenID Connect）
OAuth2 资源服务器
OAuth2 授权服务器

查看可用的示例，它们演示了所有这三个应用程序，并尝试只使用 Spring Initializr 构建自己的应用程序！一旦您完成了这些，未来就真的由您决定了！

现在去拯救世界吧！

项目页面 | GitHub 问题 | ZenHub 面板

注释

当应用程序运行时，JWK-Set 端点可在 https://:8080/oauth2/jwks 访问。↩
当应用程序运行时，OAuth2 授权服务器元数据端点可在 https://:8080/.well-known/oauth-authorization-server 访问。↩
当应用程序运行时，OpenID Connect 提供商配置端点可在 https://:8080/.well-known/openid-configuration 访问。↩

Spring 博客

Spring Authorization Server 已上线 Spring Initializr！

什么是 Spring Authorization Server？

入门

获取访问令牌

自省访问令牌

下一步是什么？

获取 Spring 新闻通讯

领先一步

获得支持

即将举行的活动