搭建认证服务器

WebSecurityConfig

认证服务器，管理token，发放认证token等功能。但是首先他是一个认证服务器，认证，说白了就是需要用户名和密码，判断用户身份，校验用户权限。这部分是spring-security的职责，可以当成是一个纯纯的security应用，按原有套路配置即可。

配置如下：

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled=true,jsr250Enabled=true)
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
{


    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests().antMatchers("/actuator/**").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable()
                .formLogin()
        ;
    }
    /**
     * 授权验证服务
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication().passwordEncoder(passwordEncoder())
                .withUser("simm").password(passwordEncoder().encode("123")).roles("USER").and()
                .withUser("admin").password(passwordEncoder().encode("admin")).roles("USER","ADMIN");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

• 这里只是配置了两个内存用户，没什么其他的了。
  下面配置一直mvc的端点：

@RestController
public class EndPoint {



        @RequestMapping("/hello")
        @RolesAllowed("ROLE_ADMIN")  // JSR-250
        @Secured({"ROLE_ADMIN"})   //securedEnabled
        public String hello() {
            SecurityContextHolder.getContext().getAuthentication().getAuthorities().stream().forEach(x-> System.out.println(((GrantedAuthority) x).getAuthority()));
            return "asd";
        }
        @RequestMapping("/changePassword")
        @PreAuthorize("hasRole('ROLE_ADMIN')")
        public String changePassword(long userId ){
            return "hello2";
        }
}

• 注意这里对于权限验证的几种写法。

AuthorizationServerConfig

下面来配置认证服务器
注意：

• 认证服务器本质上也是对一些url的拦截处理，和webSecurity一样是基于过滤器链的。他的优先级是高于webSercurity的。
• 因为EnableAuthorizationServer会导入AuthorizationServerSecurityConfiguration，他的@Order(0)，并且继承WebSecurityConfigurerAdapter
• 这里就有了两个WebSecurityConfigurerAdapter，按order，是authServer的配置先生效，所以原来的不会处理oauth开头的请求了，而都是到了authServer来处理。