我是否需要具有Spring Security OAuth2的资源服务器？

您需要资源服务器，因为它是OAuth2规范的一部分：

资源服务器

托管受保护资源的服务器，能够使用访问令牌接受和响应受保护资源请求。

因此它也是Spring Security OAuth2的一部分。

资源服务器配置不仅仅是安全配置，请参阅OAuth 2开发人员指南 ：

资源服务器配置

资源服务器（可以与授权服务器或单独的应用程序相同）提供受OAuth2令牌保护的资源。 Spring OAuth提供了一个实现此保护的Spring Security身份validationfilter。 您可以在@Configuration类上使用@EnableResourceServer将其打开，并使用ResourceServerConfigurer配置（根据需要）。 可以配置以下function：

• tokenServices：定义令牌服务的bean（ResourceServerTokenServices的实例）。
• resourceId：资源的id（可选，但建议使用，如果存在，将由auth服务器validation）。
• resourecs服务器的其他扩展点（例如，tokenExtractor用于从传入请求中提取令牌）
• 请求受保护资源的匹配器（默认为全部）
• 受保护资源的访问规则（默认为plain“authenticated”）
• Spring Security中HttpSecurity配置器允许的受保护资源的其他自定义

@EnableResourceServer注释会自动将类型为OAuth2AuthenticationProcessingFilter的filter添加到Spring Securityfilter链中。

您可以使用Spring Security配置（ WebSecurityConfigurerAdapter ）进行Spring Security中HttpSecurity配置器允许的受保护资源的其他自定义 ，但最好使用资源服务器配置，因为：

• encapsulation（一个类中资源服务器的所有配置）
• 配置订购（您不必更改订单）
• 复杂性（一个类而不是两个类）

这是推荐的方式。

是的，您需要通过扩展ResourceServerConfigurerAdapter来配置受JWT保护的ResourceServerConfigurerAdapter 。 基本实现可能如下所示

 @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } } 

这意味着您不需要扩展WebSecurityConfigurerAdapter因为上述配置配置了您将在WebSecurityConfigurerAdapter配置的相同HttpSecurity对象。 public void configure(HttpSecurity http)在两个类中都是相同的。

我们想要通过WebSecurityConfigurerAdapter选择ResourceServerConfigurerAdapter的原因是因为它是您正在使用的spring-security-oauth2模块的一部分，并将在框架的幕后使用。

您当然需要确保为授权服务器和资源服务器使用相同的签名密钥。 如果您在同一个应用程序中定义安全配置bean，资源服务器将自动使用相同的bean，否则您将需要复制授权服务器上的任何JWT相关配置。

我将尝试回答一个例子：假设您想编写一个非常酷的Web应用程序，它可以以某种方式管理GMAIL帐户以及Google日历数据。 显然，您的用户必须使用Google的凭据登录，以便您的应用可以获取数据并对其进行管理。 您的应用程序管理用户的数据，而无需获取用户的凭据。

到现在为止还挺好。

在此示例中， 授权服务器是Google帐户。 资源服务器是Google-Main和Google-Calendar（两者都是）， 客户端就是您的应用程序。

希望有道理。