spring security并没有那么难嗷 简单理解oauth2.0 -凯发k8官方网

spring容器配置

springboot工程启动会自动扫描启动类所在包下的所有bean，加载到spring容器。

spring boot配置文件，在resources下添加application.properties，内容如下：

servlet context配置

由于spring boot starter自动装配机制，这里无需使用@enablewebmvc与@componentscan，webconfig如下

视频解析器配置在application.properties中

安全配置

由于spring boot starter自动装配机制，这里无需使用@enablewebsecurity，websecurityconfig内容如下

测试

4.2 工作原理

4.2.1 结构总览

spring security所解决的问题就是安全访问控制，而安全访问控制功能其实就是对所有进入系统的请求进行拦截，校验每个请求是否能够访问它所期望的资源。根据前边知识的学习，可以通过filter或aop等技术来实现，spring security对web资源的保护是靠filter实现的，所以从这个filter来入手，逐步深入spring security原理。

当初始化spring security时，会创建一个名为 springsecurityfilterchain 的servlet过滤器，类型为org.springframework.security.web.filterchainproxy，它实现了javax.servlet.filter，因此外部的请求会经过此类，下图是spring security过虑器链结构图：

filterchainproxy 是一个代理，真正起作用的是filterchainproxy中securityfilterchain所包含的各个filter，同时这些filter作为bean被spring管理，它们是spring security核心，各有各的职责，但他们并不直接处理用户的认证，也不直接处理用户的授权，而是把它们交给了认证管理器（authenticationmanager）和决策管理器（accessdecisionmanager）进行处理，下图是filterchainproxy相关类的uml图示。

spring security功能的实现主要是由一系列过滤器链相互配合完成。

下面介绍过滤器链中主要的几个过滤器及其作用：

securitycontextpersistencefilter 这个filter是整个拦截过程的入口和出口（也就是第一个和最后一个拦截器），会在请求开始时从配置好的 securitycontextrepository 中获取 securitycontext，然后把它设置给securitycontextholder。在请求完成后将 securitycontextholder 持有的 securitycontext 再保存到配置好的 securitycontextrepository，同时清除 securitycontextholder 所持有的 securitycontext；

usernamepasswordauthenticationfilter 用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码，其内部还有登录成功或失败后进行处理的 authenticationsuccesshandler 和authenticationfailurehandler，这些都可以根据需求做相关改变；

filtersecurityinterceptor 是用于保护web资源的，使用accessdecisionmanager对当前用户进行授权访问，前面已经详细介绍过了；

exceptiontranslationfilter 能够捕获来自 filterchain 所有的异常，并进行处理。但是它只会处理两类异常：authenticationexception 和 accessdeniedexception，其它的异常它会继续抛出。

4.2.2 认证流程

认证流程

让我们仔细分析认证过程：

认证核心组件的大体关系如下：

authenticationprovider

通过前面的spring security认证流程我们得知，认证管理器（authenticationmanager）委托authenticationprovider完成认证工作。

authenticationprovider是一个接口，定义如下：

authenticate()方法定义了认证的实现过程，它的参数是一个authentication，里面包含了登录用户所提交的用户、密码等。而返回值也是一个authentication，这个authentication则是在认证成功后，将用户的权限及其他信息重新组装后生成。

spring security中维护着一个 list 列表，存放多种认证方式，不同的认证方式使用不同的authenticationprovider。如使用用户名密码登录时，使用authenticationprovider1，短信登录时使用authenticationprovider2等等这样的例子很多。

每个authenticationprovider需要实现**supports()**方法来表明自己支持的认证方式，如我们使用表单方式认证，在提交请求时spring security会生成usernamepasswordauthenticationtoken，它是一个authentication，里面封装着用户提交的用户名、密码信息。而对应的，哪个authenticationprovider来处理它？

我们在daoauthenticationprovider的基类abstractuserdetailsauthenticationprovider发现以下代码：

也就是说当web表单提交用户名密码时，spring security由daoauthenticationprovider处理

最后，我们来看一下 authentication(认证信息)的结构，它是一个接口，我们之前提到的usernamepasswordauthenticationtoken就是它的实现之一：

（1）authentication是spring security包中的接口，直接继承自principal类，而principal是位于 java.security包中的。它是表示着一个抽象主体身份，任何主体都有一个名称，因此包含一个getname()方法。

（2）getauthorities()，权限信息列表，默认是grantedauthority接口的一些实现类，通常是代表权限信息的一系列字符串。

（3）getcredentials()，凭证信息，用户输入的密码字符串，在认证过后通常会被移除，用于保障安全。

（4）getdetails()，细节信息，web应用中的实现接口通常为 webauthenticationdetails，它记录了访问者的ip地址和sessionid的值。

（5）getprincipal()，身份信息，大部分情况下返回的是userdetails接口的实现类，userdetails代表用户的详细信息，那从authentication中取出来的userdetails就是当前登录用户信息，它也是框架中的常用接口之一。

userdetailsservice

passwordencoder

(3) 修改安全配置类

将userdetails中的原始密码修改为bcrypt格式

(4) webscurityconfig中的passwordencoder

实际项目中存储在数据库中的密码并不是原始密码，都是经过加密处理的密码。

4.2.3 授权流程

授权流程

通过快速上手我们知道，spring security可以通过 http.authorizerequests() 对web请求进行授权保护。spring security使用标准filter建立了对web请求的拦截，最终实现对资源的授权访问。

spring security的授权流程如下：

分析授权流程：

securitymetadatasource其实就是读取访问策略的抽象，而读取的内容，其实就是我们配置的访问规则， 读取访问策略如：

accessdecisionmanager（访问决策管理器）的核心接口如下:

这里着重说明一下decide的参数：

authentication：要访问资源的访问者的身份

object：要访问的受保护资源，web请求对应filterinvocation

configattributes：是受保护资源的访问策略，通过securitymetadatasource获取。

decide接口就是用来鉴定当前用户是否有访问对应受保护资源的权限。

授权决策

accessdecisionmanager采用投票的方式来确定是否能够访问受保护资源。

通过上图可以看出，accessdecisionmanager中包含的一系列accessdecisionvoter将会被用来对authentication
是否有权访问受保护对象进行投票，accessdecisionmanager根据投票结果，做出最终决策。

accessdecisionvoter是一个接口，其中定义有三个方法，具体结构如下所示。

vote()方法的返回结果会是accessdecisionvoter中定义的三个常量之一。access_granted表示同意，access_denied表示拒绝，access_abstain表示弃权。如果一个accessdecisionvoter不能判定当前authentication是否拥有访问对应受保护对象的权限，则其vote()方法的返回值应当为弃权access_abstain。

spring security内置了三个基于投票的accessdecisionmanager实现类如下，它们分别是

affirmativebased、consensusbased和unanimousbased

affirmativebased的逻辑是：

（1）只要有accessdecisionvoter的投票为access_granted则同意用户进行访问；

（2）如果全部弃权也表示通过；

（3）如果没有一个人投赞成票，但是有人投反对票，则将抛出accessdeniedexception。spring security默认使用的是affirmativebased。

consensusbased的逻辑是：

（1）如果赞成票多于反对票则表示通过。

（2）反过来，如果反对票多于赞成票则将抛出accessdeniedexception。

（3）如果赞成票与反对票相同且不等于0，并且属性allowifequalgranteddenieddecisions的值为true，则表示通过，否则将抛出异常accessdeniedexception。参数allowifequalgranteddenieddecisions的值默认为true。

（4）如果所有的accessdecisionvoter都弃权了，则将视参数allowifallabstaindecisions的值而定，如果该值为true则表示通过，否则将抛出异常accessdeniedexception。参数allowifallabstaindecisions的值默认为false。

unanimousbased的逻辑与另外两种实现有点不一样，另外两种会一次性把受保护对象的配置属性全部传递
给accessdecisionvoter进行投票，而unanimousbased会一次只传递一个configattributeaccessdecisionvoter进行投票。这也就意味着如果我们的accessdecisionvoter的逻辑是只要传递进来的configattribute中有一个能够匹配则投赞成票，但是放到unanimousbased中其投票结果就不一定是赞成了。unanimousbased的逻辑具体来说是这样的：

（1）如果受保护对象配置的某一个configattribute被任意的accessdecisionvoter反对了，则将抛出
accessdeniedexception。

（2）如果没有反对票，但是有赞成票，则表示通过。

（3）如果全部弃权了，则将视参数allowifallabstaindecisions的值而定，true则通过，false则抛出accessdeniedexception。spring security也内置一些投票者实现类如rolevoter、authenticatedvoter和webexpressionvoter等，可以自行查阅资料进行学习。

4.3 自定义认证

spring security提供了非常好的认证扩展方法，比如：快速上手中将用户信息存储到内存中，实际开发中用户信息通常在数据库，spring security可以实现从数据库读取用户信息，spring security还支持多种授权方法。

4.3.1 自定义登录页面

在快速上手中，你可能会想知道登录页面从哪里来的？因为我们并没有提供任何的html或jsp文件。spring security的默认配置没有明确设定一个登录页面的url，因此spring security会根据启用的功能自动生成一个登录页面url，并使用默认url处理登录的提交内容，登录后跳转的到默认url等等。尽管自动生成的登录页面很方便快速启动和运行，但大多数应用程序都希望定义自己的登录页面。

认证页面

将security-springmvc工程的login.jsp拷贝到security-springboot下，目录保持一致。

配置认证页面

在webconfig.java中配置认证页面地址：

安全配置

在websecurityconfig中配置表章登录信息：

（1）允许表单登录

（2）指定我们自己的登录页,spring security以重定向方式跳转到/login-view

（3）指定登录处理的url，也就是用户名、密码表单提交的目的路径

（4）指定登录成功后的跳转url

（5）我们必须允许所有用户访问我们的登录页（例如为验证的用户），这个 formlogin().permitall() 方法允许任意用户访问基于表单登录的所有的url。

测试

当用户没有认证时访问系统的资源会重定向到login-view页面

输入账号和密码，点击登录,报错：

问题解决：

spring security为防止csrf（cross-site request forgery跨站请求伪造）的发生，限制了除了get以外的大多数方法。

解决方法1：

屏蔽csrf控制，即spring security不再限制csrf。

配置websecurityconfig

本案例采用方法1

解决方法2：

在login.jsp页面添加一个token，spring security会验证token，如果token合法则可以继续请求。

修改login.jsp

4.3.2 连接数据库认证

前边的例子我们是将用户信息存储在内存中，实际项目中用户信息存储在数据库中，本节实现从数据库读取用户信息。根据前边对认证流程研究，只需要重新定义userdetailservice即可实现根据用户账号查询数据库。

创建数据库

创建user_db数据库

创建t_user表

代码实现

定义userdetailservice

在service包下定义springdatauserdetailsservice：

测试

输入账号和密码请求认证，跟踪代码。

使用bcryptpasswordencoder

按照我们前边讲的passwordencoder的使用方法，使用bcryptpasswordencoder需要完成如下工作：

4.4 会话

用户认证通过后，为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security提供会话管理，认证通过后将身份信息放入securitycontextholder上下文，securitycontext与当前线程进行绑定，方便获取用户身份。

4.4.1 获取用户身份

编写logincontroller，实现/r/r1、/r/r2的测试资源，并修改loginsuccess方法，注意getusername方法，spring security获取当前登录用户信息的方法为securitycontextholder.getcontext().getauthentication()

测试

登录前访问资源

被重定向至登录页面。

登录后访问资源

成功访问资源，如下：

4.4.2 会话控制

我们可以通过以下选项准确控制会话何时创建以及spring security如何与之交互：

通过以下配置方式对该选项进行配置：

默认情况下，spring security会为每个登录成功的用户会新建一个session，就是ifrequired

若选用never，则指示spring security对登录成功的用户不创建session了，但若你的应用程序在某地方新建了session，那么spring security会用它的

若使用stateless，则说明spring security对登录成功的用户不会创建session了，你的应用程序也不会允许新建session。并且它会暗示不使用cookie，所以每个请求都需要重新进行身份验证。这种无状态架构适用于rest api及其无状态认证机制

会话超时

可以再sevlet容器中设置session的超时时间，如下设置session有效期为3600s；

spring boot 配置文件：

session超时之后，可以通过spring security 设置跳转的路径。

expired指session过期，invalidsession指传入的sessionid无效。

安全会话cookie

我们可以使用httponly和secure标签来保护我们的会话cookie：

• httponly ：如果为true，那么浏览器脚本将无法访问cookie
• secure ：如果为true，则cookie将仅通过https连接发送

spring boot 配置文件：

4.5 退出

spring security默认实现了logout退出，访问/logout，果然不出所料，退出功能spring也替我们做好了。

点击“log out”退出 成功。

退出 后访问其它url判断是否成功退出。

这里也可以自定义退出成功的页面：

在websecurityconfig的protected void configure(httpsecurity http)中配置：

当退出操作出发时，将发生：

• 使 http session 无效
• 清除 securitycontextholder
• 跳转到 /login -view?logout

但是，类似于配置登录功能，咱们可以进一步自定义退出功能：

（1）提供系统退出支持，使用 websecurityconfigureradapter 会自动被应用

（2）设置触发退出操作的url (默认是 /logout ).

（3）退出之后跳转的url。默认是 /login?logout 。

（4）定制的 logoutsuccesshandler ，用于实现用户退出成功时的处理。如果指定了这个选项那么
logoutsuccess 的设置会被忽略。

（5）添加一个 logouthandler ，用于实现用户退出时的清理工作.默认 securitycontextlogouthandler 会被添加为最后一个 logouthandler 。

（6）指定是否在退出时让 httpsession 无效。 默认设置为 true。

注意：如果让logout在get请求下生效，必须关闭防止csrf攻击csrf().disable()。如果开启了csrf，必须使用post方式请求/logout

logouthandler：

一般来说， logouthandler 的实现类被用来执行必要的清理，因而他们不应该抛出异常。

下面是spring security提供的一些实现：

• persistenttokenbasedremembermeservices 基于持久化token的rememberme功能的相关清理
• tokenbasedremembermeservice 基于token的rememberme功能的相关清理
• cookieclearinglogouthandler 退出时cookie的相关清理
• csrflogouthandler 负责在退出时移除csrftoken
• securitycontextlogouthandler 退出时securitycontext的相关清理

链式api提供了调用相应的 logouthandler 实现的快捷方式，比如deletecookies()。

4.6 授权

4.6.1 概述

授权的方式包括 web授权和方法授权，web授权是通过 url拦截进行授权，方法授权是通过 方法拦截进行授权。他们都会调用accessdecisionmanager进行授权决策，若为web授权则拦截器为filtersecurityinterceptor；若为方法授权则拦截器为methodsecurityinterceptor。如果同时通过web授权和方法授权则先执行web授权，再执行方法授权，最后决策通过，则允许访问资源，否则将禁止访问。

类关系如下：

4.6.2 准备环境

数据库环境

在t_user数据库创建如下表：

角色表：

用户角色关系表：

权限表：

角色权限关系表：

修改userdetailservice

4.6.3 web授权

在上面例子中我们完成了认证拦截，并对/r/**下的某些资源进行简单的授权保护，但是我们想进行灵活的授权控制该怎么做呢？通过给 http.authorizerequests() 添加多个子节点来定制需求到我们的url，如下代码：

（1） http.authorizerequests() 方法有多个子节点，每个macher按照他们的声明顺序执行。

（2）指定"/r/r1"url，拥有p1权限能够访问

（3）指定"/r/r2"url，拥有p2权限能够访问

（4）指定了"/r/r3"url，同时拥有p1和p2权限才能够访问

（5）指定了除了r1、r2、r3之外"/r/**"资源，同时通过身份认证就能够访问，这里使用spel（spring expression language）表达式。。

（6）剩余的尚未匹配的资源，不做保护。

注意：

规则的顺序是重要的,更具体的规则应该先写.现在以/ admin开始的所有内容都需要具有admin角色的身份验证用户,即使是/ admin / login路径(因为/ admin / login已经被/ admin / **规则匹配,因此第二个规则被忽略).

因此,登录页面的规则应该在/ admin / **规则之前.例如.

保护url常用的方法有：

authenticated() 保护url，需要用户登录

permitall() 指定url无需保护，一般应用与静态资源文件

hasrole(string role) 限制单个角色访问，角色将被增加 “role_” .所以”admin” 将和 “role_admin”进行比较.

hasauthority(string authority) 限制单个权限访问

**hasanyrole(string… roles)**允许多个角色访问.

hasanyauthority(string… authorities) 允许多个权限访问.

access(string attribute) 该方法使用 spel表达式, 所以可以创建复杂的限制.

hasipaddress(string ipaddressexpression) 限制ip地址或子网

4.6.4 方法授权

现在我们已经掌握了使用如何使用 http.authorizerequests() 对web资源进行授权保护，从spring security2.0版本开始，它支持服务层方法的安全性的支持。本节学习@preauthorize,@postauthorize, @secured三类注解。

我们可以在任何 @configuration 实例上使用 @enableglobalmethodsecurity 注释来启用基于注解的安全性。

以下内容将启用spring security的 @secured 注释。

然后向方法（在类或接口上）添加注解就会限制对该方法的访问。 spring security的原生注释支持为该方法定义了一组属性。 这些将被传递给accessdecisionmanager以供它作出实际的决定：

以上配置标明readaccount、findaccounts方法可匿名访问，底层使用webexpressionvoter投票器，可从affirmativebased第23行代码跟踪。。

post方法需要有teller角色才能访问，底层使用rolevoter投票器。

使用如下代码可启用prepost注解的支持

相应java代码如下：

以上配置标明readaccount、findaccounts方法可匿名访问，post方法需要同时拥有p_transfer和p_read_account权限才能访问，底层使用webexpressionvoter投票器，可从affirmativebased第23行代码跟踪。

5. 分布式系统认证方案

5.1 什么是分布式系统

随着软件环境和需求的变化 ，软件的架构由单体结构演变为分布式架构，具有分布式架构的系统叫分布式系统，分布式系统的运行通常依赖网络，它将单体结构的系统分为若干服务，服务之间通过网络交互来完成用户的业务处理，当前流行的微服务架构就是分布式系统架构，如下图：

分布式系统具体如下基本特点：

1、分布性：每个部分都可以独立部署，服务之间交互通过网络进行通信，比如：订单服务、商品服务。

2、伸缩性：每个部分都可以集群方式部署，并可针对部分结点进行硬件及软件扩容，具有一定的伸缩能力。

3、共享性：每个部分都可以作为共享资源对外提供服务，多个部分可能有操作共享资源的情况。

4、开放性：每个部分根据需求都可以对外发布共享资源的访问接口，并可允许第三方系统访问。

5.2 分布式认证需求

分布式系统的每个服务都会有认证、授权的需求，如果每个服务都实现一套认证授权逻辑会非常冗余，考虑分布式系统共享性的特点，需要由独立的认证服务处理系统认证授权的请求；考虑分布式系统开放性的特点，不仅对系统内部服务提供认证，对第三方系统也要提供认证。分布式认证的需求总结如下：

统一认证授权

提供独立的认证服务，统一处理认证授权。

无论是不同类型的用户，还是不同种类的客户端(web端，h5、app)，均采用一致的认证、权限、会话机制，实现统一认证授权。

要实现统一则认证方式必须可扩展，支持各种认证需求，比如：用户名密码认证、短信验证码、二维码、人脸识别等认证方式，并可以非常灵活的切换。

应用接入认证

应提供扩展和开放能力，提供安全的系统对接机制，并可开放部分api给接入第三方使用，一方应用（内部 系统服务）和三方应用（第三方应用）均采用统一机制接入。

5.3 分布式认证方案

5.3.1 选型分析

5.3.2 技术方案

根据 选型的分析，决定采用基于token的认证方式，它的优点是：

1、适合统一认证的机制，客户端、一方应用、三方应用都遵循一致的认证机制。

2、token认证方式对第三方应用接入更适合，因为它更开放，可使用当前有流行的开放协议oauth2.0、jwt等。

3、一般情况服务端无需存储会话信息，减轻了服务端的压力。

分布式系统认证技术方案见下图：

流程描述：

（1）用户通过接入方（应用）登录，接入方采取oauth2.0方式在统一认证服务(uaa)中认证。

（2）认证服务(uaa)调用验证该用户的身份是否合法，并获取用户权限信息。

（3）认证服务(uaa)获取接入方权限信息，并验证接入方是否合法。

（4）若登录用户以及接入方都合法，认证服务生成jwt令牌返回给接入方，其中jwt中包含了用户权限及接入方权限。

（5）后续，接入方携带jwt令牌对api网关内的微服务资源进行访问。

（6）api网关对令牌解析、并验证接入方的权限是否能够访问本次请求的微服务。

（7）如果接入方的权限没问题，api网关将原请求header中附加解析后的明文token，并将请求转发至微服务。

（8）微服务收到请求，明文token中包含登录用户的身份和权限信息。因此后续微服务自己可以干两件事：1，用户授权拦截（看当前用户是否有权访问该资源）2，将用户信息存储进当前线程上下文（有利于后续业务逻辑随时获取当前用户信息）

流程所涉及到uaa服务、api网关这三个组件职责如下：

• 统一认证服务(uaa)

  它承载了oauth2.0接入方认证、登入用户的认证、授权以及生成令牌的职责，完成实际的用户认证、授权功能。

• api网关

  作为系统的唯一入口，api网关为接入方提供定制的api集合，它可能还具有其它职责，如身份验证、监控、负载均衡、缓存等。api网关方式的核心要点是，所有的接入方和消费端都通过统一的网关接入微服务，在网关层处理所有的非业务功能。

6. oauth2.0

6.1 oauth2.0介绍

oauth（开放授权）是一个开放标准，允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。oauth2.0是oauth协议的延续版本，但不向后兼容oauth 1.0即完全废止了oauth1.0。很多大公司如google，yahoo，microsoft等都提供了oauth认证服务，这些都足以说明oauth标准逐渐成为开放资源授权的标准。

oauth协议目前发展到2.0版本，1.0版本过于复杂，2.0版本已得到广泛应用。

参考：https://baike.baidu.com/item/oauth/7153134?fr=aladdin

oauth 协议：https://tools.ietf.org/html/rfc6749

下边分析一个 oauth2认证的例子，通过例子去理解oauth2.0协议的认证流程，这个过程的简要描述如下：

用户借助微信认证登录黑马程序员网站，用户就不用单独在黑马程序员注册用户，怎么样算认证成功吗？黑马程序员网站需要成功从微信获取用户的身份信息则认为用户认证成功，那如何从微信获取用户的身份信息？用户信息的拥有者是用户本人，微信需要经过用户的同意方可为黑马程序员网站生成令牌，黑马程序员网站拿此令牌方可从微信获取用户的信息。

​ 点击“微信”出现一个二维码，此时用户扫描二维码，开始给黑马程序员授权。

​

以上认证授权详细的执行流程如下：

通过上边的例子我们大概了解了oaauth2.0的认证过程，下边我们看oauth2.0认证流程：

引自oaauth2.0协议rfc6749 https://tools.ietf.org/html/rfc6749

oaauth2.0包括以下角色：

• 客户端

  本身不存储资源，需要通过资源拥有者的授权去请求资源服务器的资源，比如：android客户端、web客户端（浏览器端）、微信客户端等。

• 资源拥有者

  通常为用户，也可以是应用程序，即该资源的拥有者。

• 授权服务器（也称认证服务器）

  用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权，认证成功后会给客户端发放令牌（access_token），作为客户端访问资源服务器的凭据。本例为微信的认证服务器。

• 资源服务器

  存储资源的服务器，本例子为微信存储的用户信息。

现在还有一个问题，服务提供商能允许随便一个客户端就接入到它的授权服务器吗？答案是否定的，服务提供商会给准入的接入方一个身份，用于接入时的凭据:

client_id：客户端标识 client_secret：客户端秘钥

因此，准确来说，授权服务器对两种oauth2.0中的两个角色进行认证授权，分别是资源拥有者、客户端。

6.2 spring cloud security oauth2

6.2.1 环境介绍

spring-security-oauth2是对oauth2的一种实现，并且跟我们之前学习的spring security相辅相成，与spring cloud体系的集成也非常便利，接下来，我们需要对它进行学习，最终使用它来实现我们设计的分布式认证授权凯发k8官方网的解决方案。

oauth2.0的服务提供方涵盖两个服务，即授权服务 (authorization server，也叫认证服务) 和资源服务 (resource server)，使用 spring security oauth2 的时候你可以选择把它们在同一个应用程序中实现，也可以选择建立使用同一个授权服务的多个资源服务。

**授权服务 (authorization server）**应包含对接入端以及登入用户的合法性进行验证并颁发token等功能，对令牌的请求端点由 spring mvc 控制器进行实现，下面是配置一个认证服务必须要实现的endpoints：

• authorizationendpoint 服务于认证请求。默认 url： /oauth/authorize 。
• tokenendpoint 服务于访问令牌的请求。默认 url： /oauth/token 。

资源服务 (resource server)，应包含对资源的保护功能，对非法请求进行拦截，对请求中token进行解析鉴
权等，下面的过滤器用于实现 oauth 2.0 资源服务：

• oauth2authenticationprocessingfilter 用来对请求给出的身份令牌解析鉴权。

本教程分别创建uaa授权服务（也可叫认证服务）和order订单资源服务。

认证流程如下：

6.2.2 环境搭建

父工程

创建maven工程作为父工程，依赖如下：