Spring Boot 安全实战：基于 OAuth2 与 JWT 的微服务身份认证与授权方案（代码详解版）

Spring Boot 安全实战：基于 OAuth2 与 JWT 的微服务身份认证与授权方案（代码详解版）

前言

在微服务架构中，前后端分离以及各个服务的独立部署使得安全问题变得尤为关键。传统的基于 Session 的认证方式在分布式环境下往往难以满足无状态和高扩展性的要求。基于 OAuth2 与 JWT（JSON Web Token）的认证与授权方案成为了解决这一问题的主流选择。本文将详细介绍如何在 Spring Boot 环境中构建一个安全、可扩展的微服务认证体系。我们将通过完整的代码示例，包括授权服务器和资源服务器的配置，以及客户端的调用示例，帮助你构建一个从认证到授权全流程的解决方案。

---

一、OAuth2 与 JWT 基础知识

1.1 OAuth2 关键角色

• 资源所有者（Resource Owner）：通常指用户，本身拥有访问数据的权限。
• 客户端（Client）：代表需要访问资源的应用，如 Web 应用、移动应用等。
• 授权服务器（Authorization Server）：负责验证用户身份并颁发访问令牌（Access Token）。
• 资源服务器（Resource Server）：提供保护的 API，根据访问令牌确定请求是否被允许。

1.2 JWT 简介

JWT 是一种紧凑的、URL 安全的令牌格式，用于在各方之间传递声明性信息。JWT 通常包含三部分：

• Header：指定签名算法和类型。
• Payload：存储用户信息和其他声明（claims）。
• Signature：对 Header 和 Payload 进行签名，确保数据完整性和来源可信。

在无状态认证中，JWT 令牌由授权服务器颁发，客户端携带该令牌访问资源服务器，资源服务器通过验证令牌来判断请求合法性。

---

二、构建授权服务器

授权服务器主要负责用户认证和 JWT 令牌的颁发。这里我们使用 Spring Authorization Server（目前版本较新，版本号可能随时间更新，请参阅最新文档）。

2.1 添加 Maven 依赖

在 pom.xml 中添加以下依赖：

<dependencies>
  
  <dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-webartifactId>
  dependency>

  
  <dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-securityartifactId>
  dependency>
  
  
  <dependency>
    <groupId>org.springframework.securitygroupId>
    <artifactId>spring-security-oauth2-authorization-serverartifactId>
    <version>0.4.0version>
  dependency>
  
  
  <dependency>
    <groupId>com.nimbusdsgroupId>
    <artifactId>nimbus-jose-jwtartifactId>
    <version>