聊聊spring security oauth2的几个endpoint的认证

Posted 2023-03-02

参考技术A 本文就来讲一下spring security oauth2的几个endpoint的认证

spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEndpointsConfiguration.java

这个需要保护用户账号密码认证保护，否则会报

这个走basic认证保护

这个需要认证保护，否则报500

这个可以不用认证保护

spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerSecurityConfiguration.java

一个是authenticated，一个是fullyAuthenticated，前者排除anonymous，后者排除anonymous以及remember-me

综上，需要保护/oauth/authorize以及/oauth/confirm_access这两个endpoint，当然主要是/oauth/authorize这个。

由于其他几个/oauth/开头的认证endpoint配置的认证优先级高于默认的WebSecurityConfigurerAdapter配置(order=100)，因此默认的可以这样配置