Spring Security OAuth 测试项目详解：从基础到高级应用

项目概述

Spring Security OAuth 测试项目展示了一系列最小化的应用实现，这些应用既可作为OAuth2授权服务器（令牌颁发者），也可作为资源服务器（受保护的API）。这些示例项目基于Spring Boot构建，提供了嵌入式Servlet容器和大量默认配置，能够帮助开发者快速搭建和运行OAuth2服务。

核心组件介绍

1. 基础实现 (vanilla)

• 最基本的授权服务器和资源服务器实现
• 不包含任何额外功能
• 适合作为学习OAuth2流程的起点

2. JWT实现 (jwt)

• 使用JSON Web Tokens作为令牌格式
• 令牌包含自包含的声明信息
• 无需每次请求都查询令牌存储

3. 自定义端点 (mappings)

• 修改默认的端点路径和受保护资源路径
• 展示如何自定义OAuth2端点URL
• 适合需要特定URL结构的项目

4. 细粒度授权 (approval)

• 提供基于scope的细粒度授权批准
• 用户可单独批准每个scope请求
• 增强用户对授权过程的控制

5. JDBC存储 (jdbc)

• 使用JDBC存储所有OAuth2相关数据
• 包括客户端信息、令牌等
• 适合需要持久化存储的生产环境

6. 表单认证 (form)

• 授权服务器支持基于表单的客户端认证
• 替代默认的HTTP Basic认证
• 提供更友好的用户界面

7. 多资源服务器 (multi)

• 单个应用中包含一个授权服务器和多个资源服务器
• 展示如何在单一应用中管理多个受保护资源
• 简化微服务架构中的配置

8. 纯资源服务器 (resource)

• 仅包含资源服务器功能
• 需要与独立的授权服务器配对使用
• 必须共享令牌存储机制

9. 客户端应用 (client)

• 简单的OAuth2客户端实现
• 展示如何从授权服务器获取令牌
• 演示如何使用令牌访问受保护资源

构建与运行指南

环境要求

• Java 1.7或更高版本
• Maven 3.0.5或更高版本

构建测试

mvn test

运行单个应用

每个应用都可以通过以下方式启动：

1. 通过IDE运行Application.java中的main()方法
2. 使用Maven命令：

mvn spring-boot:run

3. 构建可执行JAR后运行：

cd vanilla
mvn package
java -jar target/*.jar

测试客户端

客户端应用默认运行在8081端口，可以与运行在8080端口的服务器配合测试：

cd client
mvn package
java -jar target/*.jar

访问http://localhost:8081/client，使用用户名user和密码password完成授权流程。

基础测试示例

获取访问令牌

curl -H "Accept: application/json" my-client-with-secret:secret@localhost:8080/oauth/token -d grant_type=client_credentials

使用令牌访问资源

TOKEN=获取到的access_token值
curl -H "Authorization: Bearer $TOKEN" localhost:8080/

技术要点解析

1. 嵌入式服务器：所有示例使用Spring Boot的嵌入式服务器，简化部署和测试流程。

2. 随机端口测试：测试时使用操作系统分配的随机端口，确保测试环境的一致性。

3. 默认配置：Spring Boot提供了合理的默认配置，开发者可以快速启动项目而不必关心大量细节。

4. 多种存储选项：项目展示了内存存储和JDBC存储两种方式，满足不同场景需求。

5. 令牌格式：同时支持不透明令牌和JWT两种格式，开发者可以根据需求选择。

通过这些示例，开发者可以全面了解Spring Security OAuth2的实现方式，并根据实际需求选择合适的配置方案。每个示例都保持最小化，只包含必要的代码，便于理解和扩展。