SpringBoot3与OAuth2.1实战：从零搭建授权服务器

1. 为什么需要自己搭建OAuth2.1授权服务器？

最近几年，随着微服务架构的流行，系统间的安全认证变得越来越重要。想象一下，你开发了一个电商平台，里面有用户中心、订单服务、支付服务等多个子系统。如果每个服务都要自己实现一套登录认证，不仅开发效率低，用户体验也会很糟糕——用户可能需要在不同服务间反复登录。这时候，OAuth2.1授权服务器就派上用场了。

我在实际项目中遇到过这样的情况：公司有十几个内部系统，每个系统都有自己的账号体系。后来我们决定统一认证，选择了OAuth2.1方案。实施后发现，不仅用户体验大幅提升（单点登录），开发维护成本也降低了至少60%。特别是当需要添加新的权限控制或修改认证策略时，只需要在授权服务器上调整一次，所有接入系统立即生效。

SpringBoot3对OAuth2.1的支持比之前版本稳定很多。虽然Spring Security OAuth2确实有过"版本兼容性差"的黑历史，但从SpringBoot3开始，官方终于给出了相对稳定的API设计。我实测下来，现在的版本已经可以放心用于生产环境了。

2. 环境准备与基础配置

2.1 创建SpringBoot3项目

首先用Spring Initializr创建一个新项目，我推荐使用IDEA内置的创建工具。关键依赖选择：

• Spring Web
• Spring Security
• OAuth2 Authorization Server（这个最重要）

# 也可以用命令行快速创建 curl https://start.spring.io/starter.tgz \ -d dependencies=web,security,oauth2-authorization-server \ -d javaVersion=17 \ -d bootVersion=3.2.0 \ -d type=gradle-project \ -d baseDir=oauth-server \ | tar -xzvf -

2.2 基础安全配置

创建SecurityConfig.java文件，这是整个授权服务器的核心。我建议先实现最小可用配置，再逐步添加功能：

@Configuration @EnableWebSecurity public class SecurityConfig { @Bean @Order(1) public SecurityFilterChain authServerSecurityFilterChain(HttpSecurity http) throws Exception { OAuth2AuthorizationServerConfigurer configurer = new OAuth2AuthorizationServerConfigurer(); http.securityMatcher(configurer.getEndpointsMatcher()) .authorizeHttpRequests(auth -> auth.anyRequest().authenticated()) .csrf(csrf -> csrf.ignoringRequestMatchers( "/oauth2/token", "/oauth2/authorize" )) .with(configurer, Customizer.withDefaults()); return http.build(); } @Bean public UserDetailsService userDetailsService() { UserDetails user = User.withDefaultPasswordEncoder() .username("admin") .password("password") .roles("ADMIN") .build(); return new InMemoryUserDetailsManager(user); } }

这个配置做了三件事：

1. 启用OAuth2授权服务器端点
2. 配置基础的安全规则（所有请求需要认证）
3. 设置了一个内存用户（实际项目应该用数据库）

3. 实现授权码模式

3.1 注册客户端信息

授权码模式是最常用的OAuth2流程，适合有后端的Web应用。我们需要先注册客户端信息：

@Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient client = RegisteredClient.withId(UUID.randomUUID().toString()) .clientId("web-client") .clientSecret("{noop}secret") // {noop}表示不加密 .clientAuthenticationMethod( ClientAuthenticationMethod.CLIENT_SECRET_BASIC) .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE) .redirectUri("http://localhost:8080/login/oauth2/code/web-client") .scope("read") .scope("write") .clientSettings(ClientSettings.builder() .requireAuthorizationConsent(true) .build()) .build(); return new InMemoryRegisteredClientRepository(client); }

这里有几个关键点需要注意：

• redirectUri必须和客户端应用的实际回调地址完全匹配
• {noop}前缀表示密码不加密（仅用于开发环境）
• requireAuthorizationConsent设为true会让用户确认授权

3.2 配置JWT令牌

现代OAuth2实现推荐使用JWT代替传统的不透明令牌：

@Bean public JWKSource<SecurityContext> jwkSource() { KeyPair keyPair = generateRsaKey(); RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); RSAKey rsaKey = new RSAKey.Builder(publicKey) .privateKey(privateKey) .keyID(UUID.randomUUID().toString()) .build(); return new ImmutableJWKSet<>(new JWKSet(rsaKey)); } private static KeyPair generateRsaKey() { try { KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA"); generator.initialize(2048); return generator.generateKeyPair(); } catch (Exception ex) { throw new IllegalStateException(ex); } }

3.3 测试授权流程

现在可以测试完整的授权码流程了：

1. 访问授权端点（注意替换client_id）：

   http://localhost:8080/oauth2/authorize?response_type=code&client_id=web-client&scope=read&redirect_uri=http://localhost:8080/login/oauth2/code/web-client

2. 登录后跳转到回调地址，URL中会包含授权码（code参数）

3. 用授权码换取令牌：

   curl -X POST \ -u "web-client:secret" \ -d "grant_type=authorization_code&code=...&redirect_uri=http://localhost:8080/login/oauth2/code/web-client" \ http://localhost:8080/oauth2/token

4. 其他授权模式实现

4.1 密码模式（已废弃但仍有使用场景）

虽然OAuth2.1正式移除了密码模式，但很多遗留系统还在用。实现方法是在授权服务器配置中添加：

.authorizationGrantType(AuthorizationGrantType.PASSWORD)

然后可以通过以下方式获取令牌：

curl -X POST \ -u "web-client:secret" \ -d "grant_type=password&username=admin&password=password" \ http://localhost:8080/oauth2/token

4.2 客户端凭证模式

适合服务间认证，配置客户端时添加：

.authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)

使用方式：

curl -X POST \ -u "web-client:secret" \ -d "grant_type=client_credentials" \ http://localhost:8080/oauth2/token

4.3 刷新令牌

要实现令牌刷新，需要在客户端注册时添加：

.authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)

然后可以通过现有令牌获取新令牌：

curl -X POST \ -u "web-client:secret" \ -d "grant_type=refresh_token&refresh_token=..." \ http://localhost:8080/oauth2/token

5. 生产环境注意事项

5.1 密钥管理

开发环境我们用内存存储密钥，但生产环境必须更安全：

@Bean public RegisteredClientRepository registeredClientRepository(JdbcTemplate jdbcTemplate) { return new JdbcRegisteredClientRepository(jdbcTemplate); } @Bean public JWKSource<SecurityContext> jwkSource(@Value("${jwt.key-file}") Resource keyFile) { // 从安全存储加载密钥对 KeyStore keyStore = KeyStore.getInstance("PKCS12"); keyStore.load(keyFile.getInputStream(), "password".toCharArray()); KeyPair keyPair = getKeyPair(keyStore, "oauth-key"); // ...其余部分与之前相同 }

5.2 性能优化

高并发场景下需要关注：

• 使用Redis缓存令牌
• 启用JWT签名验证缓存
• 合理设置令牌有效期

@Bean public AuthorizationServerSettings authorizationServerSettings() { return AuthorizationServerSettings.builder() .tokenRevocationEndpoint("/oauth2/revoke") .tokenIntrospectionEndpoint("/oauth2/introspect") .jwkSetEndpoint("/oauth2/jwks") .build(); }

5.3 监控与日志

建议添加以下监控端点：

management.endpoints.web.exposure.include=health,info,metrics,oauth2 management.endpoint.health.show-details=always

在开发过程中，我发现最常出现的问题是客户端配置错误。建议为授权服务器实现一个简单的管理界面，可以实时查看和修改客户端配置。Spring Boot Actuator提供的/actuator/oauth2端点也非常有用，可以查看当前注册的客户端和授权信息。