OAuth 2.0 Resource Server

Spring Security 支持使用两种形式的 OAuth 2.0 Bearer Tokens 来保护端点：

JWT
Opaque Tokens

在应用程序已将自己的权限管理委派给 authorization server 的情况下（例如，Okta 或 Ping Identity），这会很方便。此授权服务器可以接受资源服务器的咨询，以授权请求。

该部分详细介绍了 Spring Security 如何提供对 OAuth 2.0 Bearer Tokens 的支持。

有关 JWT 和不透明令牌的工作示例，可以在 Spring Security Samples 存储库中获得。

现在我们可以考虑持有者令牌身份验证如何在 Spring Security 中工作。首先，我们看到，与 Basic Authentication 一样， WWW-Authenticate 标头被发送回未经身份验证的客户端：

Figure 1. Sending WWW-Authenticate Header

上图建立在我们的 SecurityFilterChain 图基础上。

number 1 首先，用户向 /private 资源（用户未经授权）提出了未经身份验证的请求。

number 2 Spring Security 的 AuthorizationFilter 指出未经身份验证的请求 Denied 抛出了 AccessDeniedException。

number 3 由于用户未经身份验证，ExceptionTranslationFilter 初始化 Start Authentication。已配置的 AuthenticationEntryPoint 是 {security-api-url}org/springframework/security/oauth2/server/resource/authentication/BearerTokenAuthenticationEntryPoint.html[BearerTokenAuthenticationEntryPoint] 的一个实例，它发送一个 WWW-Authenticate 标头。RequestCache 通常是不保存请求的 NullRequestCache，因为客户端能够重播其最初请求的请求。

当客户端收到 WWW-Authenticate: Bearer 标头时，它便知道应该使用承载令牌重试。下图显示了承载令牌正在被处理的流程：

Figure 2. Authenticating Bearer Token

此图建立在我们的 SecurityFilterChain 图基础上。

number 1 当用户提交他们的持有者令牌时，BearerTokenAuthenticationFilter 会创建一个 BearerTokenAuthenticationToken，这是一种 Authentication，通过从 HttpServletRequest 中提取令牌来实现的。

number 2 接下来，将 HttpServletRequest 传递给 AuthenticationManagerResolver，它会选择 AuthenticationManager。BearerTokenAuthenticationToken 被传递到 AuthenticationManager 以进行身份验证。AuthenticationManager 具体是什么样子取决于您是为 JWT 还是 opaque token 配置的。

number 3 如果身份验证失败，则 Failure

清除 SecurityContextHolder。
调用 `AuthenticationEntryPoint`来触发 WWW-Authenticate 头部再次发送。

number 4 如果身份验证成功，则 Success

在 SecurityContextHolder上设置 Authentication。
`BearerTokenAuthenticationFilter`调用 `FilterChain.doFilter(request,response)`来继续执行应用程序逻辑的其余部分。