Spring Cloud Security提供了一组用于构建安全应用程序和服务的原语，最小化。可以从外部（或集中）高度配置的声明式模型适用于通常使用中央契约管理服务的大型合作远程组件系统的实现。在像Cloud Foundry这样的服务平台上也很容易使用。基于Spring Boot和Spring安全性OAuth2，我们可以快速创建实现常见模式的系统，如单点登录，令牌中继和令牌交换。

注意Spring Cloud根据非限制性Apache 2.0许可证发布。如果您想为文档的这一部分做出贡献，或者发现错误，请在github中找到项目中的源代码和问题跟踪器。

快速开始

OAuth2单一登录

这是一个具有HTTP基本身份验证和单个用户帐户的Spring Cloud“Hello World”应用程序

app.groovy

@Grab('spring-boot-starter-security')

@Controller

class Application {

  @RequestMapping('/')

  String home() {

    'Hello World'

  }

}

您可以使用spring run app.groovy运行它，并观察日志的密码（用户名为“用户”）。到目前为止，这只是一个Spring Boot应用程序的默认设置。

这是一个使用OAuth2 SSO的Spring Cloud应用程序：

app.groovy

@Controller

@EnableOAuth2Sso

class Application {

  @RequestMapping('/')

  String home() {

    'Hello World'

  }

}

指出不同？这个应用程序的行为实际上与之前的一样，因为它不知道它是OAuth2的信誉。

您可以很容易地在github注册一个应用程序，所以如果你想要一个生产应用程序在你自己的域上尝试。如果您很乐意在localhost：8080上测试，那么请在应用程序配置中设置这些属性：

application.yml

security:

  oauth2:

    client:

      clientId: bd1c0a783ccdd1c9b9e4

      clientSecret: 1a9030fbca47a5b2c28e92f19050bb77824b5ad1

      accessTokenUri: https://github.com/login/oauth/access_token

      userAuthorizationUri: https://github.com/login/oauth/authorize

      clientAuthenticationScheme: form

    resource:

      userInfoUri: https://api.github.com/user

      preferTokenInfo: false

运行上面的应用程序，它将重定向到github进行授权。如果您已经登录github，您甚至不会注意到它已经通过身份验证。只有您的应用程序在8080端口上运行，这些凭据才会起作用。

要限制客户端在获取访问令牌时要求的范围，您可以设置security.oauth2.client.scope（逗号分隔或YAML中的数组）。默认情况下，作用域为空，由授权服务器确定默认值是什么，通常取决于客户端注册中的设置。

注意上面的例子都是Groovy脚本。如果要在Java（或Groovy）中编写相同的代码，则需要将Spring Security OAuth2添加到类路径中（例如，请参阅此处的

示例）。

OAuth2受保护资源

您要使用OAuth2令牌保护API资源？这是一个简单的例子（与上面的客户端配对）：

app.groovy

@Grab('spring-cloud-starter-security')

@RestController

@EnableResourceServer

class Application {

  @RequestMapping('/')

  def home() {

    [message: 'Hello World']

  }

}

和

application.yml

security:

  oauth2:

    resource:

      userInfoUri: https://api.github.com/user

      preferTokenInfo: false