@Configuration

@EnableResourceServer

public class ResourceServerConfigurationextends ResourceServerConfigurerAdapter {

private static final StringUSER_RESOURCE_ID ="user";

@Override

    public void configure(ResourceServerSecurityConfigurer resources) {

// 如果关闭 stateless，则 accessToken 使用时的 session id 会被记录，

// 后续请求不携带 accessToken 也可以正常响

        resources.resourceId(USER_RESOURCE_ID).stateless(true);

}

@Override

    public void configure(HttpSecurity http)throws Exception {

http.requestMatchers()

// 保险起见，防止被主过滤器链路拦截

                .antMatchers("/user/**")

.and()

.authorizeRequests().anyRequest().authenticated()

.and()

.authorizeRequests()

.antMatchers("/user/info").access("#oauth2.hasScope('get_user_info')")

.antMatchers("/user/me").access("#oauth2.hasScope('get_user_me')")

;

}

}

最近在使用spring的Security oauth2接入第三方程序时，在授权时 scope设置为get_user_me，在获取token后，为什么可以访问/user/info？

后来发现其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限。而我将token跟在url后面，导致匹配不上，所以并没有起作用。

于是乎我只是将token放在header里就好了，要这样放

Authorization：Bearer+token ，否则解析不出来token的。

下一步，在调用授权管理器AccessDecisionManager，这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息，还会获取被拦截的url和被拦截url所需的全部权限，然后根据所配的策略，如果权限足够，则返回，权限不够则报错并调用权限不足页面。