在本文中，我們將探索 Spring 安全性，并使用 OAuth 2.0 構(gòu)建一個(gè)身份驗(yàn)證系統(tǒng)。

Spring Security 是一個(gè)功能強(qiáng)大、高度可定制的框架，用于在基于 Java 的應(yīng)用程序中實(shí)現(xiàn)強(qiáng)大的身份驗(yàn)證和訪問(wèn)控制機(jī)制。它是 Spring 生態(tài)系統(tǒng)的核心組件，廣泛用于保護(hù) Web 應(yīng)用程序、REST API 和其他后端服務(wù)的安全。借助 Spring Security，您可以為在應(yīng)用程序中構(gòu)建和實(shí)施安全實(shí)踐奠定堅(jiān)實(shí)的基礎(chǔ)。

---

Spring Security 的工作原理

在深入了解 Spring Security 的運(yùn)行方式之前，了解基于 Java 的 Web 服務(wù)器中的請(qǐng)求處理生命周期至關(guān)重要。 Spring Security 無(wú)縫集成到此生命周期中以保護(hù)傳入請(qǐng)求。

---

使用 Spring Security 處理請(qǐng)求生命周期

使用 Spring Security 在基于 Spring 的應(yīng)用程序中處理 HTTP 請(qǐng)求的生命周期涉及多個(gè)階段，每個(gè)階段在處理、驗(yàn)證和保護(hù)請(qǐng)求方面都發(fā)揮著關(guān)鍵作用。

---

1. 客戶請(qǐng)求

當(dāng)客戶端（例如瀏覽器、移動(dòng)應(yīng)用程序或 Postman 等 API 工具）向服務(wù)器發(fā)送 HTTP 請(qǐng)求時(shí)，生命周期就開(kāi)始了。

示例：

GET /api/admin/dashboard HTTP/1.1

---

2. Servlet 容器

Servlet 容器（例如 Tomcat）接收請(qǐng)求并將其委托給 DispatcherServlet（Spring 應(yīng)用程序中的前端控制器）。這是應(yīng)用程序處理管道開(kāi)始的地方。

---

3. Spring Security 過(guò)濾器鏈

在 DispatcherServlet 處理請(qǐng)求之前，Spring Security 的過(guò)濾器鏈 會(huì)攔截它。過(guò)濾器鏈?zhǔn)且幌盗羞^(guò)濾器，每個(gè)過(guò)濾器負(fù)責(zé)處理特定的安全任務(wù)。這些過(guò)濾器確保請(qǐng)求在到達(dá)應(yīng)用程序邏輯之前滿足身份驗(yàn)證和授權(quán)要求。

鏈中的關(guān)鍵過(guò)濾器：

1. 身份驗(yàn)證過(guò)濾器:
   
   這些過(guò)濾器驗(yàn)證請(qǐng)求是否包含有效的憑據(jù)，例如用戶名/密碼、JWT 或會(huì)話 cookie。

2. 授權(quán)過(guò)濾器：
   
   身份驗(yàn)證后，這些過(guò)濾器確保經(jīng)過(guò)身份驗(yàn)證的用戶具有訪問(wèn)所請(qǐng)求資源所需的角色或權(quán)限。

3. 其他濾鏡：

* **CsrfFilter**: Validates CSRF tokens to prevent Cross-Site Request Forgery attacks.

* **CorsFilter**: Manages Cross-Origin Resource Sharing (CORS) rules for secure API access from different domains.

* **ExceptionTranslationFilter**: Handles security-related exceptions (e.g., invalid credentials) and sends appropriate responses to the client.

---

4. 安全上下文

如果身份驗(yàn)證成功，Spring Security 將創(chuàng)建一個(gè) Authentication 對(duì)象并將其存儲(chǔ)在 SecurityContext 中。該對(duì)象通常存儲(chǔ)在線程本地存儲(chǔ)中，在整個(gè)請(qǐng)求生命周期中都可以訪問(wèn)。

身份驗(yàn)證對(duì)象：

• Principal：代表經(jīng)過(guò)身份驗(yàn)證的用戶（例如用戶名）。

• 憑據(jù)：包括 JWT 令牌或密碼等身份驗(yàn)證詳細(xì)信息。

• 權(quán)限：包含分配給用戶的角色和權(quán)限。

過(guò)濾器鏈中的示例流程：

• 請(qǐng)求通過(guò)身份驗(yàn)證過(guò)濾器。

• 如果憑據(jù)有效，則會(huì)創(chuàng)建 Authentication 對(duì)象并將其添加到 SecurityContext。

• 如果憑據(jù)無(wú)效，ExceptionTranslationFilter 會(huì)向客戶端發(fā)送 401 未經(jīng)授權(quán)的響應(yīng)。

---

5. DispatcherServlet

一旦請(qǐng)求成功通過(guò) Spring Security 過(guò)濾器鏈，DispatcherServlet 就會(huì)接管：

1. 處理程序映射:
   
   它根據(jù) URL 和 HTTP 方法將傳入請(qǐng)求映射到適當(dāng)?shù)目刂破鞣椒ā?/p>

2. 控制器調(diào)用:
   
   映射的控制器通常在服務(wù)和存儲(chǔ)庫(kù)等其他 Spring 組件的幫助下處理請(qǐng)求并返回適當(dāng)?shù)捻憫?yīng)。

Spring Security 如何融入生命周期

Spring Security 通過(guò)其過(guò)濾器將自身集成到此生命周期中，在最早階段攔截請(qǐng)求。當(dāng)請(qǐng)求到達(dá)應(yīng)用程序邏輯時(shí)，它已經(jīng)經(jīng)過(guò)身份驗(yàn)證和授權(quán)，確保核心應(yīng)用程序僅處理合法流量。

---

Spring Security 的設(shè)計(jì)確保以聲明方式處理身份驗(yàn)證、授權(quán)和其他安全措施，使開(kāi)發(fā)人員能夠根據(jù)需要靈活地自定義或擴(kuò)展其行為。它不僅強(qiáng)制執(zhí)行最佳實(shí)踐，還簡(jiǎn)化了現(xiàn)代應(yīng)用程序中復(fù)雜安全要求的實(shí)現(xiàn)。

Spring Security 組件：超越過(guò)濾器鏈

探索了 Spring Security 中的過(guò)濾器鏈之后，讓我們深入研究一些在身份驗(yàn)證和授權(quán)過(guò)程中發(fā)揮關(guān)鍵作用的其他關(guān)鍵組件。

認(rèn)證管理器

AuthenticationManager 是一個(gè)定義單個(gè)方法的接口，authenticate(Authenticationauthentication)，用于驗(yàn)證用戶的憑據(jù)并確定它們是否有效。您可以將 AuthenticationManager 視為一個(gè)協(xié)調(diào)器，您可以在其中注冊(cè)多個(gè)提供商，并且根據(jù)請(qǐng)求類型，它將向正確的提供商發(fā)送身份驗(yàn)證請(qǐng)求。

認(rèn)證提供者

AuthenticationProvider 是一個(gè)接口，它定義了一個(gè)合約，用于根據(jù)用戶的憑據(jù)對(duì)用戶進(jìn)行身份驗(yàn)證。它代表特定的身份驗(yàn)證機(jī)制，例如用戶名/密碼、OAuth 或 LDAP。多個(gè) AuthenticationProvider 實(shí)現(xiàn)可以共存，允許應(yīng)用程序支持各種身份驗(yàn)證策略。

核心概念：

1. 身份驗(yàn)證對(duì)象:
   
   AuthenticationProvider 處理 Authentication 對(duì)象，該對(duì)象封裝了用戶的憑據(jù)（例如用戶名和密碼）。

2. 驗(yàn)證方法:
   
   每個(gè) AuthenticationProvider 都實(shí)現(xiàn)了authenticate(Authenticationauthentication)方法，實(shí)際的身份驗(yàn)證邏輯駐留在其中。此方法：

* **CsrfFilter**: Validates CSRF tokens to prevent Cross-Site Request Forgery attacks.

* **CorsFilter**: Manages Cross-Origin Resource Sharing (CORS) rules for secure API access from different domains.

* **ExceptionTranslationFilter**: Handles security-related exceptions (e.g., invalid credentials) and sends appropriate responses to the client.

1. 支持方法： support(Class>authentication) 方法指示 AuthenticationProvider 是否可以處理給定類型的身份驗(yàn)證。這允許 Spring Security 確定正確的提供者來(lái)處理特定的身份驗(yàn)證請(qǐng)求。

示例：

• 數(shù)據(jù)庫(kù)支持的 AuthenticationProvider 驗(yàn)證用戶名和密碼。

• 基于 OAuth 的 AuthenticationProvider 驗(yàn)證外部身份提供商頒發(fā)的令牌。

用戶詳情服務(wù)

UserDetailsS??ervice 在 Spring 文檔中被描述為加載用戶特定數(shù)據(jù)的核心接口，它包含一個(gè)方法 loadUserByUsername ，該方法接受用戶名作為參數(shù)并返回 ==User== 身份對(duì)象?；旧衔覀儎?chuàng)建并實(shí)現(xiàn)了 UserDetailsS??ervice 的類，在其中重寫了 loadUserByUsername 方法。

* Validates the user’s credentials.

* Returns an authenticated `Authentication` object upon success.

* Throws an `AuthenticationException` if authentication fails.

現(xiàn)在這三者如何協(xié)同工作的是 AuthenticationManager 會(huì)要求 AuthenticationProvider 根據(jù)指定的 Provider 類型進(jìn)行身份驗(yàn)證，而 UserDetailsS??ervice 實(shí)現(xiàn)將幫助 AuthenticationProvider 證明用戶詳細(xì)信息。

現(xiàn)在，在進(jìn)行配置和所有內(nèi)容之前，這里是基于 JWT 身份驗(yàn)證的 Spring Security 的簡(jiǎn)明流程：

1. 用戶請(qǐng)求

• 用戶使用其憑據(jù)（用戶名和密碼）或 JWT 令牌（標(biāo)頭中）向經(jīng)過(guò)身份驗(yàn)證的端點(diǎn)發(fā)送請(qǐng)求，并將請(qǐng)求傳遞到身份驗(yàn)證過(guò)濾器

• AuthenticationFilter（例如，UsernamePasswordAuthenticationFilter）：

  • 根據(jù)提交的憑據(jù)（通常以用戶名和密碼的形式）處理用戶身份驗(yàn)證。這就是 UsernamePasswordAuthenticationFilter 發(fā)揮作用的地方。
  • 它監(jiān)聽(tīng)請(qǐng)求，提取用戶名和密碼，并將它們傳遞給 AuthenticationManager。
  • 但是我們沒(méi)有傳遞用戶名和密碼，我們只給出令牌，因此在此 AuthenticationFilter 之前應(yīng)該有一個(gè)過(guò)濾器，它將告訴身份驗(yàn)證過(guò)程用戶已通過(guò)身份驗(yàn)證，無(wú)需檢查用戶名和密碼，這通過(guò)創(chuàng)建 JWTFilter
  來(lái)完成

2.JWT過(guò)濾器

這個(gè)自定義過(guò)濾器擴(kuò)展了 OncePerRequestFilter 并放置在 UsernamePasswordAuthenticationFilter 之前，它的作用是從請(qǐng)求中提取令牌并驗(yàn)證它。

如果令牌有效，它會(huì)創(chuàng)建一個(gè) UsernamePasswordAuthenticationToken 并將該令牌設(shè)置到安全上下文中，告訴 Spring Security 該請(qǐng)求已通過(guò)身份驗(yàn)證，并且當(dāng)此請(qǐng)求傳遞到 UsernamePasswordAuthenticationFilter 時(shí)，它只是傳遞，因?yàn)樗哂?UsernamePasswordAuthenticationToken

* **CsrfFilter**: Validates CSRF tokens to prevent Cross-Site Request Forgery attacks.

* **CorsFilter**: Manages Cross-Origin Resource Sharing (CORS) rules for secure API access from different domains.

* **ExceptionTranslationFilter**: Handles security-related exceptions (e.g., invalid credentials) and sends appropriate responses to the client.

如果我們?cè)?UserDetails 類的幫助下驗(yàn)證用戶名和密碼后傳遞了用戶名和密碼而不是令牌，則此 UsernamePasswordAuthenticationToken 是在 AuthenticationManager 和 AuthenticationProvider 的幫助下生成的。

3. 身份驗(yàn)證管理器

• AuthenticationManager：它接收身份驗(yàn)證請(qǐng)求并將其委托給我們配置的適當(dāng)?shù)?AuthenticationProvider。

* Validates the user’s credentials.

* Returns an authenticated `Authentication` object upon success.

* Throws an `AuthenticationException` if authentication fails.

4. 身份驗(yàn)證提供程序

• UserDetailsS??ervice：AuthenticationProvider 使用 UserDetailsS??ervice 根據(jù)用戶名加載用戶詳細(xì)信息。我們?yōu)榇颂峁┝?UserDetailsS??ervice

的實(shí)現(xiàn)

• 憑證驗(yàn)證：它將提供的密碼與存儲(chǔ)在用戶詳細(xì)信息中的密碼進(jìn)行比較（通常使用密碼編碼器）。
  

package com.oauth.backend.services;

import com.oauth.backend.entities.User;
import com.oauth.backend.repositories.UserRepository;
import lombok.RequiredArgsConstructor;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;


@Component
public class CustomUserDetailsService implements UserDetailsService {
    private final UserRepository userRepository;

    public CustomUserDetailsService(UserRepository userRepository) {
        this.userRepository = userRepository;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = userRepository.findByUsername(username);
        if(user==null){
            throw new UsernameNotFoundException(username);
        }
        return new UserDetailsImpl(user);
    }
    public UserDetails loadUserByEmail(String email) throws UsernameNotFoundException {
        User user = userRepository.findByEmail(email);
        if(user==null){
            throw new UsernameNotFoundException(email);
        }
        return new UserDetailsImpl(user);
    }
}

現(xiàn)在需要配置所有這些不同的過(guò)濾器和 bean，以便 Spring security 知道要做什么，因此我們創(chuàng)建一個(gè)配置類，在其中指定所有配置。

@Component
public class JWTFilter extends OncePerRequestFilter {

    private final JWTService jwtService;
    private final UserDetailsService userDetailsService;
    public JWTFilter(JWTService jwtService,UserDetailsService userDetailsService) {
        this.jwtService = jwtService;
        this.userDetailsService = userDetailsService;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        final String authHeader = request.getHeader("Authorization");

        if(authHeader == null || !authHeader.startsWith("Bearer")) {
            filterChain.doFilter(request,response);
            return;
        }

        final String jwt = authHeader.substring(7);
        final String userName = jwtService.extractUserName(jwt);

        Authentication authentication
                = SecurityContextHolder.getContext().getAuthentication();

        if(userName !=null  && authentication == null) {
            //Authenticate
            UserDetails userDetails
                    = userDetailsService.loadUserByUsername(userName);

            if(jwtService.isTokenValid(jwt,userDetails)) {
                UsernamePasswordAuthenticationToken authenticationToken
                        = new UsernamePasswordAuthenticationToken(
                        userDetails,
                        null,
                        userDetails.getAuthorities()
                );

                SecurityContextHolder.getContext()
                        .setAuthentication(authenticationToken);
            }
        }

        filterChain.doFilter(request,response);
    }



}

到目前為止，我們已經(jīng)在 Spring Security 的幫助下理解并配置了我們的身份驗(yàn)證，現(xiàn)在是時(shí)候測(cè)試它了。

我們將創(chuàng)建一個(gè)簡(jiǎn)單的應(yīng)用程序，其中包含兩個(gè)控制器 AuthController（處理登錄和注冊(cè)）和 ProductController（虛擬受保護(hù)控制器）

* **CsrfFilter**: Validates CSRF tokens to prevent Cross-Site Request Forgery attacks.

* **CorsFilter**: Manages Cross-Origin Resource Sharing (CORS) rules for secure API access from different domains.

* **ExceptionTranslationFilter**: Handles security-related exceptions (e.g., invalid credentials) and sends appropriate responses to the client.

* Validates the user’s credentials.

* Returns an authenticated `Authentication` object upon success.

* Throws an `AuthenticationException` if authentication fails.

package com.oauth.backend.services;

import com.oauth.backend.entities.User;
import com.oauth.backend.repositories.UserRepository;
import lombok.RequiredArgsConstructor;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;


@Component
public class CustomUserDetailsService implements UserDetailsService {
    private final UserRepository userRepository;

    public CustomUserDetailsService(UserRepository userRepository) {
        this.userRepository = userRepository;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = userRepository.findByUsername(username);
        if(user==null){
            throw new UsernameNotFoundException(username);
        }
        return new UserDetailsImpl(user);
    }
    public UserDetails loadUserByEmail(String email) throws UsernameNotFoundException {
        User user = userRepository.findByEmail(email);
        if(user==null){
            throw new UsernameNotFoundException(email);
        }
        return new UserDetailsImpl(user);
    }
}

@Component
public class JWTFilter extends OncePerRequestFilter {

    private final JWTService jwtService;
    private final UserDetailsService userDetailsService;
    public JWTFilter(JWTService jwtService,UserDetailsService userDetailsService) {
        this.jwtService = jwtService;
        this.userDetailsService = userDetailsService;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        final String authHeader = request.getHeader("Authorization");

        if(authHeader == null || !authHeader.startsWith("Bearer")) {
            filterChain.doFilter(request,response);
            return;
        }

        final String jwt = authHeader.substring(7);
        final String userName = jwtService.extractUserName(jwt);

        Authentication authentication
                = SecurityContextHolder.getContext().getAuthentication();

        if(userName !=null  && authentication == null) {
            //Authenticate
            UserDetails userDetails
                    = userDetailsService.loadUserByUsername(userName);

            if(jwtService.isTokenValid(jwt,userDetails)) {
                UsernamePasswordAuthenticationToken authenticationToken
                        = new UsernamePasswordAuthenticationToken(
                        userDetails,
                        null,
                        userDetails.getAuthorities()
                );

                SecurityContextHolder.getContext()
                        .setAuthentication(authenticationToken);
            }
        }

        filterChain.doFilter(request,response);
    }



}

@Bean  
public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception{  
return config.getAuthenticationManager();  
}

@Bean  
public AuthenticationProvider authenticationProvider(){  
DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();  
authenticationProvider.setUserDetailsService(userDetailsServiceImpl);  
authenticationProvider.setPasswordEncoder(passwordEncoder);  
return authenticationProvider;  
}

到目前為止，我們已經(jīng)實(shí)現(xiàn)了注冊(cè)、登錄和驗(yàn)證，但是如果我還想添加 Login With Google/Github 功能，那么我們可以借助 OAuth2.0 來(lái)實(shí)現(xiàn)

OAuth 2.0

OAuth 2.0 是一種用于授權(quán)的協(xié)議，通過(guò)它，用戶可以授予第三方應(yīng)用程序訪問(wèn)存儲(chǔ)在其他平臺(tái)（例如 Google Drive、Github）上的資源的權(quán)限，而無(wú)需共享這些平臺(tái)的憑據(jù)。

它主要用于啟用社交登錄，例如“使用 google 登錄”、“使用 github 登錄”。

Google、Facebook、Github 等平臺(tái)提供了授權(quán)服務(wù)器，該服務(wù)器實(shí)現(xiàn)了 OAuth 2.0 協(xié)議，用于此社交登錄或授權(quán)訪問(wèn)。

OAuth 2.0 的關(guān)鍵概念

• 資源所有者

• 客戶

• 授權(quán)服務(wù)器

• 資源服務(wù)器

• 訪問(wèn)令牌

• 范圍

• 補(bǔ)助金

現(xiàn)在我們將一一研究每個(gè)概念

資源所有者

資源所有者是想要授權(quán)第三方應(yīng)用程序（您的應(yīng)用程序）的用戶。

客戶

這是您的（第三方）應(yīng)用程序想要從資源服務(wù)器訪問(wèn)數(shù)據(jù)或資源。

資源服務(wù)器

它是存儲(chǔ)用戶數(shù)據(jù)的服務(wù)器，供第三方應(yīng)用程序訪問(wèn)。

授權(quán)服務(wù)器

對(duì)資源所有者進(jìn)行身份驗(yàn)證并向客戶端（例如 Google 帳戶）頒發(fā)訪問(wèn)令牌的服務(wù)器。

訪問(wèn)令牌

授權(quán)服務(wù)器向客戶端頒發(fā)的憑證，允許客戶端代表用戶訪問(wèn)資源服務(wù)器。它的生命周期通常很短，很快就會(huì)過(guò)期，因此還提供了刷新令牌來(lái)刷新此訪問(wèn)令牌，以便用戶不需要再次授權(quán)。

范圍

用戶授予的特定權(quán)限，定義客戶端可以和不能對(duì)用戶數(shù)據(jù)執(zhí)行什么操作。例如，對(duì)于授權(quán)，我們只需要用戶信息，如個(gè)人資料、姓名等，但對(duì)于文件訪問(wèn)，需要不同的范圍。

補(bǔ)助金

客戶端應(yīng)用程序從授權(quán)服務(wù)器獲取訪問(wèn)令牌的方法。授權(quán)定義了授權(quán)客戶端應(yīng)用程序訪問(wèn)資源所有者的受保護(hù)數(shù)據(jù)的流程和條件。

它是安全的，因?yàn)槲覀儾恍枰驗(yàn)g覽器公開(kāi)我們的客戶端密鑰和其他憑據(jù)

OAuth 2.0 提供了兩種最常用的 Grant 類型

1. 授權(quán)碼授予

   它是最常用的授權(quán)/方法類型，最安全，并且適用于服務(wù)器端應(yīng)用程序

   在此，授權(quán)碼由客戶端提供給后端，后端將訪問(wèn)令牌提供給客戶端。

   流程：

   1. 客戶端將用戶重定向到授權(quán)服務(wù)器。
   2. 用戶登錄并同意。
   3. 授權(quán)服務(wù)器發(fā)出授權(quán)碼。
   4. 客戶端與后端交換授權(quán)代碼以獲取訪問(wèn)令牌。

2. 隱性授予

   由單頁(yè)應(yīng)用程序 (SPA) 或沒(méi)有后端的應(yīng)用程序使用。在此，訪問(wèn)令牌是在瀏覽器本身中直接生成和頒發(fā)的。

   流程：

   1. 客戶端將用戶重定向到授權(quán)服務(wù)器。
   2. 用戶登錄并同意。
   3. 授權(quán)服務(wù)器直接頒發(fā)訪問(wèn)令牌。

為了完全理解，我們將分別實(shí)現(xiàn)兩者，但首先我們將實(shí)現(xiàn)我們需要的授權(quán)代碼授予

1. 授權(quán)服務(wù)器

   它可以是任何一個(gè)平臺(tái)（例如 google 、 github），或者您也可以使用 KeyCloak 創(chuàng)建自己的平臺(tái)，或者也可以遵循 OAuth 2.0 標(biāo)準(zhǔn)構(gòu)建您自己的平臺(tái)（我們可能會(huì)在下一篇博客中這樣做？）

2. Spring Boot 應(yīng)用

   這將是我們的主要后端應(yīng)用程序/服務(wù)，它將處理代碼交換、驗(yàn)證、保存用戶詳細(xì)信息和分配 JWT 令牌等所有操作

3. React 應(yīng)用程序（前端）

   這將是我們的客戶端，它將用戶重定向到授權(quán)服務(wù)器進(jìn)行授權(quán)。

因此，在我們的實(shí)現(xiàn)中，我們要做的是前端（網(wǎng)絡(luò)/應(yīng)用程序）將我們的用戶重定向到谷歌登錄，并將 uri 重定向到我們的后端端點(diǎn)，這將進(jìn)一步控制我們稍后將討論它以及redirect_url我們還傳遞應(yīng)用程序的客戶端 ID，所有這些都將在查詢參數(shù)中發(fā)送。

否，當(dāng)用戶成功登錄谷歌時(shí)，授權(quán)服務(wù)器（谷歌的）會(huì)將我們的請(qǐng)求重定向到后端端點(diǎn)，我們要做的就是與授權(quán)服務(wù)器交換授權(quán)代碼以獲取訪問(wèn)令牌和刷新令牌，然后我們可以根據(jù)需要處理身份驗(yàn)證，最后我們會(huì)將響應(yīng)發(fā)送回我們的前端，該前端將有一個(gè) cookie 并重定向到我們的儀表板，或者可能是受保護(hù)的頁(yè)面。

現(xiàn)在我們將研究代碼，但請(qǐng)確保在 OAuth 客戶端的 Google 控制臺(tái)儀表板中的授權(quán)重定向 URL 中添加后端端點(diǎn)的 URL。

* **CsrfFilter**: Validates CSRF tokens to prevent Cross-Site Request Forgery attacks.

* **CorsFilter**: Manages Cross-Origin Resource Sharing (CORS) rules for secure API access from different domains.

* **ExceptionTranslationFilter**: Handles security-related exceptions (e.g., invalid credentials) and sends appropriate responses to the client.

就是這樣，它可以正常工作，為了測(cè)試，您可以制作一個(gè)簡(jiǎn)單的前端應(yīng)用程序，它除了具有上下文之外什么都沒(méi)有，而您不知道登錄和注冊(cè)功能。

感謝您閱讀這么久，如果您有任何建議，請(qǐng)?jiān)谠u(píng)論中提出

以上是了解 Spring Security 和 OAuth的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！