我需要对Spring安全的所有流程有一些了解,我已经在同一个Spring Boot App中实现了oauth2授权服务器和资源服务器,在这里我可以生成JWT令牌。
我已经在同一个Spring Boot App中实现了oauth2授权服务器和资源服务器,在这里我可以生成JWT令牌。而这个应用中的示例Rest api是安全的,只有通过token才能访问。
我有另一个Spring Boot应用,它应该是安全的吗?我应该怎么做呢?另外,我需要读取这个服务中的token来知道用户的角色。
请告诉我如何实现步骤2。
你可以创建一个模块来实现你的Spring安全配置。
在这个模块中,有一个类,它被注解为 "安全"。@EnableWebSecurity
注解,在这里你定义了开放的路由。我猜你已经有一个这样的类,用于你在步骤1中提到的示例休息API。
现在,每一个需要被保护的微秒针都会通过导入这个模块来使用它,比如作为maven的依赖。这样一来,它的api就会通过spring security自动获得安全。
你的 auth 服务服务于一个 jwk 端点,每个微服务都可以通过公钥来验证令牌。