spring-boot - 配置多个 OAuth2 授权服务器和单个资源服务器之间的通信

问题描述

我目前正在设置一个资源服务器，它将验证来自各种授权服务器的访问令牌。

Spring 安全性（也使用 Okta 安全启动器）似乎只允许我设置单个颁发者 URI。

我设法找到了一个可行的解决方案，但我不确定这是否是最佳实践/标准方式。在下面的代码片段中，为了简单起见，我使用 Spring 的 Java Config 明确设置了资源。

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
  http
      .authorizeExchange()
      .pathMatchers("/api/protected/by/authserver1")
      .and()
      .oauth2ResourceServer()
      .jwt()
          .jwtDecoder(ReactiveJwtDecoders.fromOidcIssuerLocation("https://authserver1")
      .and()
      .and()
      .authorizeExchange()
      .pathMatchers("/api/protected/by/authserver2")
      .and()
      .oauth2ResourceServer()
      .jwt()
          .jwtDecoder(ReactiveJwtDecoders.fromOidcIssuerLocation("https://authserver2");

  return http.build()
}

这似乎完全按预期工作，从一个身份验证服务器铸造的令牌并在验证另一个接收 401 的端点上使用。当铸造的令牌在其各自的端点上使用时，它们被成功验证。

.and()背靠背调用看起来有点好笑，我的印象是这些链接调用只是在后台创建多个 Web 过滤器？无论哪种方式，这是在具有 Spring Security 和 WebFlux 的 Spring 应用程序中启用此功能的标准方式吗？

此外，我遇到了这个SO question，但我不知道我能否在这个项目的上下文中设置一个“联合提供者”。但是，如果这种方法是我想知道的最佳实践。但是，我认为这在某种程度上发生在 Okta 级别，身份验证服务器访问策略上的联合代理模式......？

标签： spring-bootspring-securityspring-webfluxoktaspring-oauth2