Spring OAuth授权服务器和资源服务器在不同的服务器上

Question

我正在尝试配置 Spring Boot 授权和资源服务器，每个服务器都在不同的服务器上。 The tutorial 没有说明如何在不同的服务器上具体配置资源和授权服务器。

如果您的资源服务器是一个单独的应用程序，那么您必须 确保您与授权服务器的功能相匹配，并且 提供一个知道如何解码的 ResourceServerTokenServices 标记正确。[这是什么意思以及如何做到这一点？]

与 DefaultTokenServices 一样，选择主要通过 TokenStore（后端存储或本地编码）。另一种选择是 RemoteTokenServices 是 Spring OAuth 特性（不是 规范）允许资源服务器通过 HTTP 解码令牌 授权服务器上的资源 (/oauth/check_token)。 如果没有大量的远程令牌服务很方便 资源服务器中的流量（每个请求都必须通过 授权服务器），或者如果您有能力缓存结果。 要使用 /oauth/check_token 端点，您需要通过 在 AuthorizationServerSecurityConfigure与Authorization Server一样，可以经常使用。

据我了解，有一个建议的解决方案是资源服务器调用授权服务端点，但如上所述，这只能在资源服务器中没有大量流量的情况下完成，但如果确实存在呢？

Answer 1

假设您有一个身份验证服务器、一个资源服务器和一个客户端应用程序。 您可以设置公共 JWT 密钥来验证传入的令牌。这意味着您的用户通过客户端应用程序将他的用户名和密码提供给 Auth 服务器以获取有效令牌，并且该令牌由 Auth 服务器中的公钥签名。然后，每个客户端应用程序调用资源服务器都需要提供该签名令牌，并且您的资源服务器应用程序使用公钥来验证传入的令牌，而不是每次都调用 Auth Server。

Answer 2

将此 bean 添加到您的资源服务器，您可以使用单个授权服务器保护多个资源 api：

 @Primary
    @Bean
    public RemoteTokenServices tokenService() {
        RemoteTokenServices tokenService = new RemoteTokenServices();
        tokenService.setCheckTokenEndpointUrl(
          "http://localhost:8080/spring-security-oauth-server/oauth/check_token");
        tokenService.setClientId("fooClientIdPassword");
        tokenService.setClientSecret("secret");
        return tokenService;
    }