Spring Security OAuth2 权限隔离实践与解决方案

"本文主要探讨了在Spring Security OAuth2框架中如何实现令牌（token）的权限隔离，特别是在项目中涉及到多种授权模式如授权码模式、密码模式和Client模式时的处理策略。文中通过具体的示例代码，展示了在遇到权限验证问题时的解决方案，特别是针对低版本OAuth2权限隔离的问题。文章内容包括对问题的分析、解决方案的提出以及代码实现的详细说明。" 在Spring Security OAuth2中，权限隔离是确保不同类型的令牌（token）只能访问其被授予的特定资源的关键机制。例如，授权码模式通常用于第三方系统接入，密码模式用于用户登录，而Client模式则用于服务间的调用。为了实现这种隔离，通常需要在控制器方法前使用`@PreAuthorize("hasAuthority('client')")`等预授权注解来限制访问。 在遇到权限验证不通过的问题时，作者发现资源服务从授权服务获取的`authorities`字段为空。经过研究，发现可能是由于使用了较低版本的OAuth2，该版本可能存在权限隔离的实现问题。Stack Overflow上的建议是重写`UserInfoTokenService`，以在低版本OAuth2中实现权限隔离。 然而，由于项目中的资源服务较多，直接重写`UserInfoTokenService`可能不是最佳解决方案。文章指出，可以在资源服务器向授权服务请求用户信息时，对返回的`Principal`对象进行重写，添加`authorities`信息。具体实现是在一个名为`UserController`的`@RestController`类中，通过`@GetMapping("/user")`方法返回用户信息。在该方法内，可以获取到`HttpServletRequest`，从中解析出必要的权限信息，并将其添加到返回的`Principal`对象中。 示例代码中展示了`UserController`的`user`方法，该方法接收一个`Principal`参数并返回。在日志中输出了`Principal`的内容，然后直接返回。在实际操作中，这里应将`Principal`对象的`authorities`字段填充或更新为正确的权限信息。 本文详细阐述了如何在Spring Security OAuth2环境下，通过代码实现不同授权模式下的令牌权限隔离，以及如何解决低版本OAuth2中权限信息获取不到的问题。这为开发者在实际项目中处理类似问题提供了实用的参考。