Spring Security + OAuth，如果没有访问令牌则回退

Question

我在我的应用程序中使用 Spring Security 来保护我的大部分端点。我正在使用 Spring Security OAuth2 来保护某个子集。 外部服务器和资源服务器本身的用户都可以访问此 OAuth 保护端点子集。

是否可以在此端点上同时使用两种保护，并使用非此即彼？如果用户从外部服务器访问端点，他们将需要 OAuth 访问令牌才能进入，如果用户直接登录到资源服务器，他们将没有访问令牌，但我想使用我的其他过滤器链做我的标准身份验证。

我以前从未见过带有两个独立过滤器链的 HTTP 块，但也许有一些我不知道的方法。

Answer 1

我认为受保护资源不需要 2 个过滤器链，只需要一些考虑到可能遇到的不同身份验证的访问规则。例如，sparklr2 demo 是一个资源服务器，它接受 cookie 以及 /photos 端点上的令牌。在 sparklr 中，您有 1 个过滤器链（WebSecurityConfigurerAdapter）用于登录和授权端点，1 个（ResourceServerConfigurerAdapter）用于受保护的资源。默认情况下，ResourceServerConfigurerAdapter 应用在之前WebSecurityConfigurerAdapter，因此它必须不匹配登录和授权资源。相关的匹配器和访问规则是这样的：

    @Override
    public void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
            // Since we want the protected resources to be accessible in the UI as well we need 
            // session creation to be allowed (it's disabled by default in 2.0.6)
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
        .and()
            .requestMatchers().antMatchers("/photos/**", "/oauth/users/**", "/oauth/clients/**","/me")
        .and()
            .authorizeRequests()
                .antMatchers("/me").access("#oauth2.hasScope('read')")                  
                .antMatchers("/photos").access("#oauth2.hasScope('read') or (!#oauth2.isOAuth() and hasRole('ROLE_USER'))")                                        
        ...
    }

由于访问规则，您会看到一个仅 OAuth 的资源 (/me) 和一个使用令牌或 cookie 的资源 (/photos)。