Dubbo

定义与基本概念 Spring Security 是一个基于 Spring 框架的安全框架，为 Java 企业级应用提供了全面的安全解决方案，涵盖了身份验证（用户登录）、授权（访问控制）、加密和防止常见的安全漏洞等功能。它可以集成到各种类型的 Spring 应用中，包括 Web 应用（如 Spring MVC、Spring Boot）和非 Web 应用。 OAuth2（开放授权 2.0）是一个开放标准的授权框架，旨在解决不同应用之间的授权问题，允许用户在不向第三方应用透露自己的用户名和密码的情况下，授权第三方应用访问他们存储在另一个服务提供商上的资源。它通过使用令牌Token来代表用户的授权，使得资源服务器能够验证请求是否被授权。 核心角色与流程 资源所有者：通常是用户，拥有受保护的资源。 资源服务器：存储资源的服务器，需要对请求进行授权验证。 客户端：请求访问资源的应用程序。 授权服务器：负责验证资源所有者的身份，并发放令牌给客户端 客户端请求资源所有者授权，资源所有者同意后，授权服务器向客户端发放令牌，客户端携带令牌访问资源服务器，资源服务器验证令牌的有效性后提供资源。 与 Dubbo 的协同 同时低版本 javax 和高版本 jakarta servlet API ，jakarta API 优先级更高，只需要引入jar即可使用HttpServletRequest和HttpServletResponse作为参数 使用 Filter 扩展: 实现 Filter 接口和 org.apache.dubbo.rpc.protocol.tri.rest.filter.RestExtension 接口，然后注册SPI 主要流程 由于 OAuth2 需要授权服务器，资源服务器，客户端，为了简化案例，就写授权服务器和资源服务器。 AuthorizationServer 采用默认配置 @Bean public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception { OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http); return http.build(); } 1. 端点访问控制 授权端点（/authorize）： 要求进行身份验证，只有已认证的用户才能发起授权请求。默认情况下，通常会使用 Spring Security 的标准身份验证机制，如基于表单的登录或 HTTP Basic 认证。 限制对该端点的请求方法，一般只允许 GET 和 POST 方法，以防止恶意的请求操作。 令牌端点（/token）： 此端点用于发放访问令牌和刷新令牌，安全要求更高。默认配置会要求客户端进行身份验证，通常通过客户端 ID 和客户端密钥进行认证。 同样限制请求方法，一般只允许 POST 方法，以确保只有合法的请求才能获取令牌。 2....