Spring Security 和 Angular

HTML5、豐富的基於瀏覽器的功能和“單頁應用”對於現代開發者來說是非常有價值的工具，但任何有意義的互動都將涉及後端伺服器。因此，除了靜態內容（HTML、CSS 和 JavaScript），我們還需要一個後端伺服器。後端伺服器可以扮演多種角色：提供靜態內容，有時（但如今不那麼常見）渲染動態 HTML，驗證使用者，保護對受保護資源的訪問，以及（最後但並非最不重要）透過 HTTP 和 JSON（有時稱為 REST API）與瀏覽器中的 JavaScript 互動。

Spring 一直是構建後端功能（尤其是在企業中）的流行技術，而隨著 Spring Boot 的出現，事情變得前所未有的簡單。讓我們看看如何使用 Spring Boot、Angular 和 Twitter Bootstrap 從零開始構建一個新的單頁應用。沒有特別的理由選擇這個特定的技術棧，但它非常流行，尤其是在企業 Java 商店的核心 Spring 使用者群中，因此它是一個有價值的起點。

我們將詳細介紹建立此應用程式的步驟，以便任何不完全熟悉 Spring 和 Angular 的人都能理解正在發生的事情。如果您想直接瞭解結果，可以跳到結尾，在那裡應用程式正在執行，並瞭解它們是如何協同工作的。建立新專案有多種選擇：

我們將要構建的完整專案的原始碼可以在 Github 上找到，所以如果您願意，可以直接克隆專案並從那裡開始工作。然後跳到下一節。

如今，Angular（或任何現代前端框架）中單頁應用程式的核心將是 Node.js 構建。Angular 有一些工具可以快速設定，所以讓我們使用這些工具，並保留使用 Maven 構建的選項，就像任何其他 Spring Boot 應用程式一樣。如何設定 Angular 應用程式的詳細資訊在此處介紹，或者您可以直接從 Github 檢出本教程的程式碼。

讓我們定製“app-root”元件（在“src/app/app.component.ts”中）。

一個最小的 Angular 應用程式看起來像這樣：

這個 TypeScript 中的大部分程式碼都是樣板。有趣的部分都在 AppComponent 中，我們透過 @Component 註解定義了“selector”（HTML 元素的名稱）和一段要渲染的 HTML 片段。我們還需要編輯 HTML 模板（“app.component.html”）

如果您在“src/app”下添加了這些檔案並重建了您的應用程式，它現在應該是安全且功能齊全的，並且會顯示“Hello World!”。greeting 透過 Angular 使用雙花括號佔位符 {{greeting.id}} 和 {{greeting.content}} 在 HTML 中渲染。

到目前為止，我們有一個問候語硬編碼的應用程式。這對於學習如何協同工作很有用，但實際上我們期望內容來自後端伺服器，所以讓我們建立一個 HTTP 端點，我們可以用它來獲取問候語。在您的應用程式類（在“src/main/java/demo”中）中，新增 @RestController 註解並定義一個新的 @RequestMapping

執行該應用程式並嘗試 curl "/resource" 端點，您會發現它預設是安全的：

如果您使用一些開發者工具（通常按 F12 即可開啟，在 Chrome 中預設工作，在 Firefox 中可能需要外掛），您可以在瀏覽器中看到瀏覽器和後端之間的互動。以下是摘要：

您可能看不到 401，因為瀏覽器將主頁載入視為單個互動，並且您可能會看到兩次請求 "/resource"，因為存在 CORS 協商。

仔細檢視請求，您會發現所有請求都帶有一個“Authorization”頭，類似於：

瀏覽器每次請求都發送使用者名稱和密碼（因此請記住在生產環境中 exclusively 使用 HTTPS）。這與“Angular”無關，因此它適用於您選擇的 JavaScript 框架或非框架。

Angular 應用程式的核心是基本頁面佈局的 HTML 模板。我們已經有一個非常基本的模板，但對於這個應用程式，我們需要提供一些導航功能（登入、登出、主頁），所以讓我們修改它（在 src/app 中）

主要內容是一個 <router-outlet/>，還有一個帶有登入和登出連結的導航欄。

<router-outlet/> 選擇器由 Angular 提供，需要將其連線到主模組中的一個元件。每個路由（每個菜單鏈接）將有一個元件，以及一個輔助服務來將它們粘合在一起並共享一些狀態 (AppService)。這是將所有部分整合在一起的模組的實現：

我們添加了對名為 "RouterModule" 的 Angular 模組的依賴，這使我們能夠將一個神奇的 router 注入到 AppComponent 的建構函式中。routes 用於 AppModule 的匯入內部，以設定到 "/"（"home" 控制器）和 "/login"（"login" 控制器）的連結。

我們還偷偷加入了 FormsModule，因為稍後將需要它來將資料繫結到我們希望在使用者登入時提交的表單。

UI 元件都是“宣告”，而服務膠合劑是“提供者”。AppComponent 實際上並沒有做太多事情。與應用程式根目錄一起的 TypeScript 元件在這裡：

顯著特徵

我們上面注入的 app 服務需要一個布林標誌，以便我們能夠判斷使用者當前是否已透過身份驗證，以及一個 authenticate() 函式，該函式可用於與後端伺服器進行身份驗證，或僅查詢其使用者詳細資訊

authenticated 標誌很簡單。authenticate() 函式在提供 HTTP Basic 身份驗證憑據時傳送它們，否則不傳送。它還有一個可選的 callback 引數，我們可以用它在身份驗證成功時執行一些程式碼。

為了支援我們剛剛新增的登入表單，我們需要新增更多功能。在客戶端，這些將在 LoginComponent 中實現，在伺服器端，這將是 Spring Security 配置。

如果您此時執行應用程式，您會發現瀏覽器會彈出一個基本身份驗證對話方塊（用於使用者名稱和密碼）。它之所以這樣做，是因為它看到來自 /user 和 /resource 的 XHR 請求返回 401 響應，並帶有一個“WWW-Authenticate”頭。抑制此彈出視窗的方法是抑制該頭，該頭來自 Spring Security。抑制響應頭的方法是傳送一個特殊的、傳統的請求頭“X-Requested-With=XMLHttpRequest”。它曾經是 Angular 中的預設設定，但他們在 1.3.0 版本中將其移除。因此，以下是如何在 Angular XHR 請求中設定預設頭的方法。

首先擴充套件 Angular HTTP 模組提供的預設 RequestOptions：

這裡的語法是樣板。Class 的 implements 屬性是它的基類，除了建構函式之外，我們真正需要做的就是覆蓋 intercept() 函式，該函式總是由 Angular 呼叫，可用於新增額外的頭部。

要安裝這個新的 RequestOptions 工廠，我們需要在 AppModule 的 providers 中宣告它：

應用程式的功能幾乎完成了。我們需要做的最後一件事是實現我們在主頁上草擬的登出功能。如果使用者已透過身份驗證，我們就會顯示一個“登出”連結，並將其與 AppComponent 中的 logout() 函式掛鉤。請記住，它會向“/logout”傳送 HTTP POST 請求，我們現在需要在伺服器上實現該請求。這很簡單，因為 Spring Security 已經為我們添加了它（即，對於這個簡單的用例，我們無需做任何事情）。要更精細地控制登出行為，您可以使用 WebSecurityAdapter 中的 HttpSecurity 回撥，例如在登出後執行一些業務邏輯。

應用程式幾乎可以使用了，事實上，如果您執行它，您會發現我們目前構建的所有功能都正常工作，除了登出連結。嘗試使用它並在瀏覽器中檢視響應，您就會明白原因：

這很好，因為這意味著 Spring Security 內建的 CSRF 保護已經啟動，阻止我們搬起石頭砸自己的腳。它只要求在名為“X-CSRF”的頭部中傳送一個令牌。CSRF 令牌的值在載入主頁的初始請求中在 HttpRequest 屬性的伺服器端可用。要將其傳遞給客戶端，我們可以在伺服器上使用動態 HTML 頁面渲染它，或者透過自定義端點暴露它，或者我們可以將其作為 cookie 傳送。最後一種選擇是最好的，因為 Angular 內建了對 CSRF（它稱為“XSRF”）的支援，基於 cookie。

因此，在伺服器端，我們需要一個自定義過濾器來發送 cookie。Angular 要求 cookie 名稱為“XSRF-TOKEN”，而 Spring Security 預設將其作為請求屬性提供，因此我們只需將值從請求屬性傳輸到 cookie。幸運的是，Spring Security（自 4.1.0 起）提供了一個專門的 CsrfTokenRepository，它正好可以完成此操作：

進行了這些更改之後，我們不需要在客戶端做任何事情，登入表單現在可以正常工作了。

如果您使用一些開發者工具（通常按 F12 即可開啟，在 Chrome 中預設工作，在 Firefox 中可能需要外掛），您可以在瀏覽器中看到瀏覽器和後端之間的互動。以下是摘要：

上面標記為“ignored”的響應是 Angular 在 XHR 呼叫中收到的 HTML 響應，由於我們沒有處理該資料，HTML 被丟棄。在對“/user”資源的首次呼叫中，我們確實尋找經過身份驗證的使用者，但由於它不存在，該響應被丟棄。

仔細檢視請求，您會發現它們都帶有 cookie。如果您從一個乾淨的瀏覽器（例如 Chrome 的無痕模式）開始，第一個請求不會向伺服器傳送任何 cookie，但伺服器會返回“Set-Cookie”，用於“JSESSIONID”（常規 HttpSession）和“X-XSRF-TOKEN”（我們上面設定的 CRSF cookie）。隨後的請求都帶有這些 cookie，它們很重要：沒有它們應用程式無法工作，並且它們提供了非常基本的安全功能（身份驗證和 CSRF 保護）。當用戶進行身份驗證（在 POST 之後）時，cookie 的值會發生變化，這是另一個重要的安全功能（防止 會話固定攻擊）。

“但是等等……”您可能會說，“在單頁應用程式中使用會話狀態不是非常糟糕嗎？”這個問題的答案必須是“大部分情況下”，因為使用會話進行身份驗證和 CSRF 保護絕對是一件好事。這種狀態必須儲存在某個地方，如果您將其從會話中取出，您將不得不將其儲存在其他地方，並在伺服器和客戶端手動管理它。這只是更多的程式碼，可能需要更多的維護，並且通常是重複發明一個完美的輪子。

“但是，但是……”您會反駁道，“我現在如何水平擴充套件我的應用程式？”這是您上面提出的“真正”問題，但它往往被簡化為“會話狀態不好，我必須是無狀態的”。別慌。這裡要記住的重點是，安全性*是有狀態的*。您不能擁有一個安全的、無狀態的應用程式。那麼您將把狀態儲存在哪裡？這就是全部。 Rob Winch 在 2014 年 Spring Exchange 上發表了一個非常有益且富有洞察力的演講，解釋了狀態的必要性（以及它的普遍性——TCP 和 SSL 都是有狀態的，所以無論您是否知道，您的系統都是有狀態的），如果您想更深入地研究這個主題，可能值得一看。

好訊息是您有選擇。最簡單的選擇是將會話資料儲存在記憶體中，並依靠負載均衡器中的粘性會話將來自同一會話的請求路由回同一 JVM（它們都會以某種方式支援）。這足以讓您起步，並適用於*非常*多的用例。另一個選擇是在應用程式例項之間共享會話資料。只要您嚴格遵守規定，只儲存安全資料，它就很小且不經常更改（僅在使用者登入和登出或其會話超時時），因此不應出現任何重大的基礎設施問題。使用 Spring Session 也非常容易實現。我們將在本系列的下一節中使用 Spring Session，因此無需在此處詳細介紹如何設定它，但它實際上只需幾行程式碼和一個 Redis 伺服器，速度超快。

如果這是您對上一節的回應，那麼請再讀一遍，因為您可能第一次沒有理解。如果您將令牌儲存在某個地方，它可能就不是無狀態的，但即使您沒有（例如，您使用 JWT 編碼令牌），您將如何提供 CSRF 保護？這很重要。這裡有一個經驗法則（歸功於 Rob Winch）：如果您的應用程式或 API 將透過瀏覽器訪問，您就需要 CSRF 保護。這不是說您不能在沒有會話的情況下做到這一點，只是您必須自己編寫所有這些程式碼，而且這樣做的意義何在呢？因為這些程式碼已經實現並且在 HttpSession（反過來又是您正在使用的容器的一部分，並且從一開始就內建在規範中）之上執行得非常完美？即使您決定不需要 CSRF，並且擁有一個完美的“無狀態”（非基於會話的）令牌實現，您仍然必須在客戶端編寫額外的程式碼來消費和使用它，而您本可以直接委託給瀏覽器和伺服器自己的內建功能：瀏覽器總是傳送 cookie，伺服器總是有一個會話（除非您將其關閉）。這些程式碼不是業務邏輯，它不會為您帶來任何收益，它只是一個開銷，所以更糟糕的是，它會花費您的錢。

我們現在擁有的應用程式接近使用者在實際生產環境中可能期望的“真實”應用程式，它可能可以作為模板，以這種架構（帶有靜態內容和 JSON 資源的單一伺服器）構建更豐富功能的應用程式。我們正在使用 HttpSession 儲存安全資料，依賴我們的客戶端尊重並使用我們傳送給他們的 cookie，我們對此感到滿意，因為它讓我們能夠專注於自己的業務領域。在下一節中，我們將把架構擴充套件到獨立的身份驗證和 UI 伺服器，以及一個獨立的 JSON 資源伺服器。這顯然很容易推廣到多個資源伺服器。我們還將把 Spring Session 引入技術棧，並展示如何使用它來共享身份驗證資料。

瀏覽器嘗試與我們的資源伺服器協商，以根據 跨域資源共享 協議確定是否允許訪問它。這不是 Angular 的責任，所以就像 cookie 契約一樣，它將與瀏覽器中的所有 JavaScript 這樣工作。這兩個伺服器沒有宣告它們具有共同的來源，因此瀏覽器拒絕傳送請求，導致 UI 損壞。

為了解決這個問題，我們需要支援 CORS 協議，這涉及一個“預檢”OPTIONS 請求和一些標頭，以列出呼叫者的允許行為。Spring 4.2 具有一些出色的細粒度 CORS 支援，因此我們只需向控制器對映新增一個註解，例如：

太棒了！我們有了一個新的架構的工作應用程式。唯一的問題是資源伺服器沒有安全性。

網際網路和人們的 Spring 後端專案充斥著基於令牌的自定義身份驗證解決方案。Spring Security 提供了一個 barebones 的 Filter 實現，讓您開始自己的工作（例如，請參閱 AbstractPreAuthenticatedProcessingFilter 和 TokenService）。不過，Spring Security 中沒有規範的實現，其中一個原因可能是存在一種更簡單的方法。

回想一下本系列第二部分，Spring Security 預設使用 HttpSession 儲存身份驗證資料。不過，它不直接與會話互動：在它們之間有一個抽象層（SecurityContextRepository），您可以使用它來更改儲存後端。如果我們將資源伺服器中的該儲存庫指向一個由我們的 UI 驗證的身份驗證儲存，那麼我們就有了在兩個伺服器之間共享身份驗證的方法。UI 伺服器已經有這樣一個儲存（HttpSession），所以如果我們可以分發該儲存並將其開放給資源伺服器，我們就有了大部分解決方案。

唯一缺少的部分是儲存中資料鍵的傳輸機制。鍵是 HttpSession ID，所以如果我們在 UI 客戶端中能夠獲取該鍵，我們可以將其作為自定義頭部發送到資源伺服器。因此，“home”控制器需要更改，以便它將頭部作為 greeting 資源的 HTTP 請求的一部分發送。例如：

（一個更優雅的解決方案可能是按需獲取令牌，並使用我們的 RequestOptionsService 將頭部新增到傳送到資源伺服器的每個請求中。）

我們沒有直接訪問 "https://:9000"，而是將該呼叫封裝在對 UI 伺服器上新自定義端點 "/token" 的成功回撥中。該實現非常簡單：

因此，UI 應用程式已準備就緒，並將為所有後端呼叫在名為“X-Auth-Token”的頭部中包含會話 ID。

資源伺服器有一個微小的更改，以便它能夠接受自定義頭部。CORS 配置必須將該頭部指定為遠端客戶端允許的頭部，例如：

現在，瀏覽器的預檢請求將由 Spring MVC 處理，但我們需要告訴 Spring Security 允許它透過：

剩下的就是獲取資源伺服器中的自定義令牌並使用它來驗證我們的使用者。這變得相當簡單，因為我們所需要做的就是告訴 Spring Security 會話儲存庫在哪裡，以及在傳入請求中查詢令牌（會話 ID）的位置。首先我們需要新增 Spring Session 和 Redis 依賴項，然後我們就可以設定 Filter 了

建立的這個 Filter 是 UI 伺服器中過濾器的映象，因此它將 Redis 建立為會話儲存。唯一的區別是它使用一個自定義的 HttpSessionStrategy，該策略在頭部（預設為“X-Auth-Token”）而不是預設的（名為“JSESSIONID”的 cookie）中查詢。我們還需要阻止瀏覽器在未經身份驗證的客戶端中彈出對話方塊——應用程式是安全的，但預設情況下會發送帶有 WWW-Authenticate: Basic 的 401，因此瀏覽器會彈出一個用於輸入使用者名稱和密碼的對話方塊。實現此目的的方法不止一種，但我們已經讓 Angular 傳送了“X-Requested-With”頭部，因此 Spring Security 預設會為我們處理它。

為了使其與我們新的身份驗證方案協同工作，資源伺服器還有一個最終的更改。Spring Boot 預設安全性是無狀態的，我們希望它將會話中的身份驗證儲存起來，所以我們需要在 application.yml（或 application.properties）中明確說明：

這告訴 Spring Security“永不建立會話，但如果存在則使用它”（由於 UI 中的身份驗證，它已經存在）。

重新啟動資源伺服器並在新瀏覽器視窗中開啟 UI。

我們不得不使用自定義頭部並在客戶端編寫程式碼來填充頭部，這並不特別複雜，但這似乎與第二部分中儘可能使用 cookie 和會話的建議相矛盾。那裡的論點是，不這樣做會引入額外的非必要複雜性，而且可以肯定的是，我們現在擁有的實現是我們迄今為止所見最複雜的：解決方案的技術部分遠遠超過了業務邏輯（儘管業務邏輯確實很小）。這無疑是一個合理的批評（我們計劃在本系列的下一節中解決這個問題），但讓我們簡要地看看為什麼它不像僅僅使用 cookie 和會話那麼簡單。

至少我們仍然在使用會話，這是有道理的，因為 Spring Security 和 Servlet 容器知道如何毫不費力地完成這項工作。但是我們不能繼續使用 cookie 來傳輸身份驗證令牌嗎？那會很好，但有一個原因它不起作用，那就是瀏覽器不允許我們這樣做。您可以從 JavaScript 客戶端直接檢視瀏覽器的 cookie 儲存，但有一些限制，而且理由充分。特別是，您無法訪問伺服器作為“HttpOnly”傳送的 cookie（您會發現會話 cookie 預設情況下就是這種情況）。您也無法在傳出請求中設定 cookie，因此我們無法設定“SESSION”cookie（這是 Spring Session 的預設 cookie 名稱），我們必須使用自定義的“X-Session”頭部。這兩個限制都是為了您自身的保護，以便惡意指令碼無法在未經適當授權的情況下訪問您的資源。

TL;DR UI 和資源伺服器沒有共同的來源，因此它們不能共享 cookie（即使我們可以使用 Spring Session 強制它們共享會話）。

我們已經複製了本系列第二部分中應用程式的功能：一個主頁，其中包含從遠端後端獲取的問候語，以及導航欄中的登入和登出連結。區別在於問候語來自一個獨立的資源伺服器，而不是嵌入在 UI 伺服器中。這增加了實現的顯著複雜性，但好訊息是我們擁有一個主要基於配置（並且幾乎 100% 宣告式）的解決方案。我們甚至可以透過將所有新程式碼提取到庫中（Spring 配置和 Angular 自定義指令）來使解決方案 100% 宣告式。我們將在接下來的幾部分之後再處理這項有趣的任務。在下一部分中，我們將探討一種不同的、非常棒的方法來減少當前實現中的所有複雜性：API 閘道器模式（客戶端將其所有請求傳送到一個地方，並在那裡處理身份驗證）。

API 閘道器是前端客戶端的單一入口點（和控制點），可以是基於瀏覽器的（如本節中的示例）或移動的。客戶端只需知道一個伺服器的 URL，後端可以隨意重構而無需更改，這是一個顯著的優勢。在集中化和控制方面還有其他優勢：速率限制、身份驗證、審計和日誌記錄。使用 Spring Cloud 實現一個簡單的反向代理非常簡單。

如果您一直在跟著程式碼，您會知道上一節末尾的應用程式實現有點複雜，所以它不是一個很好的迭代起點。但是，有一箇中間點我們可以更容易地從它開始，即後端資源尚未透過 Spring Security 保護。此原始碼是一個單獨的專案，位於 Github 中，所以我們將從那裡開始。它有一個 UI 伺服器和一個資源伺服器，它們正在相互通訊。資源伺服器還沒有 Spring Security，所以我們可以先讓系統工作，然後再新增該層。

您可能還記得，我們開始的中間狀態下，資源伺服器並沒有任何安全措施。

假設我們決定確實需要在軟體層面提供安全性（出於多種原因很可能如此）。這不會成為問題，因為我們所需要做的就是將 Spring Security 作為依賴項新增（在資源伺服器 POM 中）：

這足以讓我們獲得一個安全的資源伺服器，但它還不能讓我們獲得一個可用的應用程式，原因與第三部分相同：兩個伺服器之間沒有共享的身份驗證狀態。

我們可以使用與上次相同的機制來共享身份驗證（和 CSRF）狀態，即 Spring Session。我們像以前一樣將依賴項新增到兩個伺服器中：

但這次配置要簡單得多，因為我們可以將相同的 Filter 宣告新增到兩者中。首先是 UI 伺服器，明確宣告我們希望轉發所有頭部（即沒有“敏感”頭部）：

然後我們可以繼續討論資源伺服器。需要進行兩個小的更改：一個是顯式停用資源伺服器中的 HTTP Basic（以防止瀏覽器彈出身份驗證對話方塊）：

另一個是在 application.properties 中明確要求非無狀態會話建立策略：

只要 redis 仍在後臺執行（如果您喜歡，可以使用 docker-compose.yml 啟動它），系統就會正常工作。在新的瀏覽器中載入 UI 的主頁 https://:8080 並登入，您將在主頁上看到來自後端的渲染訊息。

現在幕後發生了什麼？首先，我們可以檢視 UI 伺服器（和 API 閘道器）中的 HTTP 請求：

這與第二部分末尾的序列相同，只是 cookie 名稱略有不同（“SESSION”而不是“JSESSIONID”），因為我們使用的是 Spring Session。但架構不同，最後對“/resource”的請求是特殊的，因為它被代理到資源伺服器。

我們可以透過檢視 UI 伺服器中的“/trace”端點（來自 Spring Boot Actuator，我們隨 Spring Cloud 依賴項一起新增的）來觀察反向代理的實際執行情況。在新瀏覽器中訪問 https://:8080/trace（如果您還沒有，請為您的瀏覽器安裝一個 JSON 外掛，使其更易讀）。您需要使用 HTTP Basic（瀏覽器彈出視窗）進行身份驗證，但與登入表單相同的憑據有效。在開始時或附近，您應該會看到一對請求，類似於這樣：

第二個條目是客戶端向閘道器發出的對“/resource”的請求，您可以看到 cookie（由瀏覽器新增）和 CSRF 頭部（由 Angular 新增，如第二部分所述）。第一個條目有 remote: true，這意味著它正在跟蹤對資源伺服器的呼叫。您可以看到它發往 URI 路徑“/”，並且您可以看到（至關重要的是）cookie 和 CSRF 頭部也已傳送。如果沒有 Spring Session，這些頭部對資源伺服器將毫無意義，但我們設定的方式使其現在可以使用這些頭部重新構建包含身份驗證和 CSRF 令牌資料的會話。因此，請求被允許，我們一切順利！

我們在本節中涵蓋了很多內容，但我們達到了一個非常好的境界，即我們的兩個伺服器中樣板程式碼量極少，它們都得到了很好的保護，並且使用者體驗也沒有受到影響。僅此一點就足以成為使用 API 閘道器模式的理由，但實際上我們只是觸及了它可能用於什麼（Netflix 用它來做很多事情）的皮毛。閱讀 Spring Cloud 以瞭解如何輕鬆地向閘道器新增更多功能。本系列的下一節將透過將身份驗證職責提取到單獨的伺服器（單點登入模式）來擴充套件應用程式架構。

我們的第一步是建立一個新伺服器來處理身份驗證和令牌管理。按照第一部分中的步驟，我們可以從 Spring Boot Initializr 開始。例如，在類似 UN*X 的系統上使用 curl：

然後，您可以將該專案（預設情況下是一個普通的 Maven Java 專案）匯入到您喜歡的 IDE 中，或者只使用檔案並在命令列上執行 "mvn"。

如果從第四部分繼續，我們的資源伺服器正在使用 Spring Session 進行身份驗證，因此我們可以將其移除並替換為 Spring OAuth。我們還需要移除 Spring Session 和 Redis 依賴項，所以替換：

改為：

然後從主應用程式類中移除會話 Filter，將其替換為方便的 @EnableResourceServer 註解（來自 Spring Security OAuth2）：

僅此一項更改，應用程式就可以挑戰訪問令牌而不是 HTTP Basic，但我們需要更改配置才能真正完成該過程。我們將新增少量外部配置（在“application.properties”中），以允許資源伺服器解碼它獲得的令牌並驗證使用者：

這告訴伺服器可以使用令牌訪問“/user”端點，並使用該端點獲取身份驗證資訊（這有點像 Facebook API 中的 “/me”端點）。實際上，它為資源伺服器提供了一種解碼令牌的方式，正如 Spring OAuth2 中的 ResourceServerTokenServices 介面所表達的那樣。

執行應用程式並使用命令列客戶端訪問主頁：

您會看到一個 401 響應，其中包含“WWW-Authenticate”頭部，表明它需要一個持有者令牌。

在授權伺服器上，我們可以輕鬆新增該端點：

我們添加了一個與第二部分中 UI 伺服器相同的 @RequestMapping，以及來自 Spring OAuth 的 @EnableResourceServer 註解，該註解預設保護授權伺服器中的所有內容，除了 "/oauth/*" 端點。

有了這個端點，我們就可以測試它和 greeting 資源了，因為它們現在都接受由授權伺服器建立的持有者令牌：

（替換您從自己的授權伺服器獲取的訪問令牌值，以使其正常工作）。

我們需要完成此應用程式的最後一部分是 UI 伺服器，它提取認證部分並委託給授權伺服器。因此，與資源伺服器一樣，我們首先需要刪除 Spring Session 和 Redis 依賴項，並將其替換為 Spring OAuth2。由於我們在 UI 層使用 Zuul，我們實際上使用spring-cloud-starter-oauth2而不是直接使用spring-security-oauth2（這會設定一些自動配置，用於透過代理轉發令牌）。

完成此操作後，我們還可以刪除會話過濾器和“/user”端點，並設定應用程式以重定向到授權伺服器（使用@EnableOAuth2Sso註解）。

回想一下第四部分，UI 伺服器憑藉@EnableZuulProxy充當 API 閘道器，我們可以在 YAML 中宣告路由對映。因此，“/user”端點可以代理到授權伺服器。

最後，我們需要將應用程式更改為WebSecurityConfigurerAdapter，因為現在它將用於修改由@EnableOAuth2Sso設定的 SSO 過濾器鏈中的預設值。

主要變化（除了基類名）是匹配器進入了自己的方法，並且不再需要formLogin()。顯式logout()配置明確添加了一個未受保護的成功 URL，這樣對/logout的 XHR 請求將成功返回。

還有一些強制性的外部配置屬性，用於@EnableOAuth2Sso註解，以便能夠聯絡正確的授權伺服器並進行認證。所以我們需要在application.yml中新增這些內容。

其中大部分是關於 OAuth2 客戶端（“acme”）和授權伺服器位置的。還有一個userInfoUri（就像在資源伺服器中一樣），以便使用者可以在 UI 應用程式本身中進行認證。

現在同時執行所有伺服器，並在瀏覽器中訪問 https://:8080 處的 UI。單擊“登入”連結，您將被重定向到授權伺服器進行認證（HTTP Basic 彈出視窗）並批准令牌授予（白標籤 HTML），然後重定向到 UI 中的主頁，其中包含使用與認證 UI 相同的令牌從 OAuth2 資源伺服器獲取的問候語。

如果您使用一些開發者工具（通常按 F12 即可開啟，在 Chrome 中預設工作，在 Firefox 中可能需要外掛），您可以在瀏覽器中看到瀏覽器和後端之間的互動。以下是摘要：

以 (uaa) 為字首的請求是傳送到授權伺服器的。標記為“忽略”的響應是 Angular 在 XHR 呼叫中收到的響應，由於我們沒有處理這些資料，它們被丟棄了。我們確實在“/user”資源的情況下尋找已認證的使用者，但由於在第一次呼叫中不存在，該響應被丟棄。

在 UI 的“/trace”端點（向下滾動到底部），您將看到代理的後端請求“/user”和“/resource”，其中remote:true和 bearer 令牌而不是 cookie（就像在第四部分中一樣）用於認證。Spring Cloud Security 已經為我們處理了這個問題：透過識別我們有@EnableOAuth2Sso和@EnableZuulProxy，它已經確定（預設情況下）我們希望將令牌轉發到代理的後端。

如果您單擊“登出”連結，您將看到主頁發生變化（問候語不再顯示），因此使用者不再使用 UI 伺服器進行認證。但是，如果再次單擊“登入”，您實際上不需要再次經歷授權伺服器中的認證和批准週期（因為您尚未從授權伺服器登出）。關於這是否是理想的使用者體驗，意見不一，這是一個眾所周知棘手的問題（單點登出：Science Direct 文章和Shibboleth 文件）。理想的使用者體驗可能在技術上不可行，而且您有時也必須懷疑使用者是否真的想要他們所說的。 “我希望‘登出’能讓我登出”聽起來很簡單，但顯而易見的回答是，“從哪裡登出？您是想從這個 SSO 伺服器控制的所有系統中登出，還是隻從您點選‘登出’連結的那個系統中登出？”如果您感興趣，本教程的稍後一節將更深入地討論。

我們對 Spring Security 和 Angular 堆疊的淺層探索到此結束。我們現在擁有一個漂亮的架構，在三個獨立的元件中具有明確的職責：UI/API 閘道器、資源伺服器和授權伺服器/令牌授予器。所有層中的非業務程式碼量現在都最小化了，並且很容易看出在哪裡透過更多的業務邏輯來擴充套件和改進實現。接下來的步驟將是清理授權伺服器中的 UI，並可能新增更多的測試，包括對 JavaScript 客戶端的測試。另一個有趣的任務是提取所有樣板程式碼並將其放入一個庫中（例如“spring-security-angular”），其中包含 Spring Security 和 Spring Session 自動配置以及 Angular 部分中導航控制器的一些 webjars 資源。讀過本系列文章的任何人，如果希望瞭解 Angular 或 Spring Security 的內部工作原理，可能會感到失望，但如果您想了解它們如何很好地協同工作以及一點點配置如何發揮巨大作用，那麼希望您會有一個愉快的體驗。Spring Cloud是新出的，這些示例在編寫時需要快照，但現在已有釋出候選版本，並且 GA 版本即將推出，所以請檢視並透過 Github 或gitter.im傳送一些反饋。

本系列的下一節是關於訪問決策（超越認證）的，並在同一代理後面使用多個 UI 應用程式。

您可以在Github 原始碼中找到此應用程式的另一個版本，它有一個漂亮的登入頁面和使用者批准頁面，其實現方式類似於我們在第二部分中實現登入頁面的方式。它還使用JWT對令牌進行編碼，因此資源伺服器無需使用“/user”端點，而是可以從令牌本身提取足夠的資訊來進行簡單的認證。瀏覽器客戶端仍然使用它，透過 UI 伺服器代理，以便它可以確定使用者是否已認證（與實際應用程式中對資源伺服器的可能呼叫次數相比，它不需要經常這樣做）。

這是我們將要構建的基本系統的圖片

與本系列中的其他示例應用程式一樣，它有一個 UI（HTML 和 JavaScript）和一個資源伺服器。與第四節中的示例一樣，它有一個閘道器，但這裡它是獨立的，不屬於 UI。UI 實際上成為了後端的一部分，這使我們有更多的選擇來重新配置和重新實現功能，並且還帶來了其他好處，我們將在後面看到。

瀏覽器對所有事物都訪問閘道器，它不需要知道後端的架構（從根本上說，它不知道有後端）。瀏覽器在此閘道器中執行的操作之一是認證，例如，它傳送使用者名稱和密碼，就像在第二節中那樣，並返回一個 cookie。在後續請求中，它會自動呈現 cookie，閘道器會將其傳遞給後端。客戶端無需編寫任何程式碼即可啟用 cookie 傳遞。後端使用 cookie 進行認證，並且由於所有元件共享一個會話，它們共享相同的使用者資訊。這與第五節形成對比，在第五節中，cookie 必須在閘道器中轉換為訪問令牌，然後訪問令牌必須由所有後端元件獨立解碼。

與第四節中一樣，閘道器簡化了客戶端和伺服器之間的互動，並提供了一個小巧、定義明確的介面來處理安全性。例如，我們不需要擔心跨域資源共享，這是一個可喜的解脫，因為很容易出錯。

我們將要構建的完整專案的原始碼在 Github 這裡，所以如果您願意，可以直接克隆專案並從那裡開始工作。該系統最終狀態中有一個額外的元件（"double-admin"），所以暫時忽略它。

在此架構中，後端與我們在第三節中構建的 “spring-session” 示例非常相似，不同之處在於它實際上不需要登入頁面。要達到我們想要的效果，最簡單的方法可能是從第三節複製“resource”伺服器，並從第一節的 “basic” 示例中獲取 UI。要從“basic”UI 達到我們想要的效果，我們只需要新增幾個依賴項（就像我們第一次在第三節中使用 Spring Session 時一樣）。

既然這是一個 UI，就不再需要“/resource”端點。完成這些操作後，您將擁有一個非常簡單的 Angular 應用程式（與“basic”示例中的相同），這極大地簡化了測試和對其行為的推理。

最後，我們希望此伺服器作為後端執行，因此我們將為其指定一個非預設埠進行偵聽（在application.properties中）。

如果那是application.properties的全部內容，那麼應用程式將是安全的，並且可供名為“user”的使用者訪問，其密碼是隨機的，但在啟動時會在控制檯（INFO 日誌級別）上打印出來。“security.sessions”設定意味著 Spring Security 將接受 cookie 作為認證令牌，但除非它們已經存在，否則不會建立它們。

資源伺服器很容易從我們現有的示例中生成。它與第三節中的“spring-session”資源伺服器相同：只是一個“/resource”端點，Spring Session 用於獲取分散式會話資料。我們希望這個伺服器監聽一個非預設埠，並且我們希望能夠在會話中查詢認證，所以我們需要這些（在application.properties中）。

我們將對我們的訊息資源進行 POST 更改，這是本教程中的一個新功能。這意味著我們將需要在後端進行 CSRF 保護，並且我們需要使用通常的技巧讓 Spring Security 與 Angular 良好配合。

如果您想檢視，完整的示例在 github 這裡。

對於閘道器的初始實現（最簡單的可行方案），我們只需採用一個空的 Spring Boot Web 應用程式並新增@EnableZuulProxy註解。正如我們在第一節中看到的，有幾種方法可以做到這一點，其中一種是使用Spring Initializr生成一個骨架專案。更簡單的方法是使用Spring Cloud Initializr，它與 Spring Initializr 相同，但用於Spring Cloud應用程式。使用與第一節中相同的命令列操作序列

然後，您可以將該專案（預設情況下是普通的 Maven Java 專案）匯入您最喜歡的 IDE，或者只使用檔案並在命令列上執行“mvn”。Github 中有一個版本，如果您想從那裡開始，但它有一些我們暫時不需要的額外功能。

從空白的 Initializr 應用程式開始，我們新增 Spring Session 依賴項（如上面的 UI 中）。閘道器已準備好執行，但它尚不瞭解我們的後端服務，所以讓我們在它的application.yml中進行設定（如果您執行了上面的 curl 操作，則從application.properties重新命名）。

代理中有 2 條路由，它們都使用sensitive-headers屬性將 cookie 傳遞到下游，一條用於 UI，一條用於資源伺服器，我們還設定了預設密碼和會話持久化策略（告訴 Spring Security 在認證時總是建立會話）。最後一點很重要，因為我們希望在閘道器中管理認證和會話。

我們現在有三個元件，執行在三個埠上。如果您將瀏覽器指向 https://:8080/ui/，您應該會收到 HTTP Basic 挑戰，您可以以“user/password”身份進行認證（您在閘道器中的憑據），一旦您完成認證，您應該會在 UI 中看到一個問候語，透過代理對資源伺服器的後端呼叫來實現。

如果您使用一些開發者工具（通常按 F12 即可開啟，在 Chrome 中預設工作，在 Firefox 中可能需要外掛），您可以在瀏覽器中看到瀏覽器和後端之間的互動。以下是摘要：

您可能看不到 401 錯誤，因為瀏覽器將主頁載入視為單個互動。所有請求都經過代理（閘道器中除了 Actuator 管理端點外，目前沒有任何內容）。

太棒了，它起作用了！您現在有兩個後端伺服器，其中一個作為 UI，每個都具有獨立的功能，並且能夠獨立測試，它們透過一個受您控制且已配置認證的安全閘道器連線在一起。如果後端無法被瀏覽器訪問，這無關緊要（事實上，這可能是一個優勢，因為它為您提供了對物理安全更大的控制權）。

就像第一節中的“basic”示例一樣，我們現在可以向閘道器新增一個登入表單，例如透過複製第二節中的程式碼。當我們這樣做時，我們還可以在閘道器中新增一些基本的導航元素，這樣使用者就不必知道代理中 UI 後端的路徑。所以讓我們首先將“single”UI 中的靜態資產複製到閘道器中，刪除訊息渲染並在主頁中（在<app/>的某個位置）插入一個登入表單。

我們將有一個漂亮的導航大按鈕，而不是訊息渲染

如果您正在檢視 github 中的示例，它還有一個帶有“登出”按鈕的最小導航欄。這是登入表單的截圖

為了支援登入表單，我們需要一些 TypeScript 程式碼，其中包含一個實現我們在<form/>中宣告的login()函式的元件，並且我們需要設定authenticated標誌，以便主頁根據使用者是否已認證而以不同的方式呈現。例如

其中login()函式的實現類似於第二節中的實現。

我們可以使用self來儲存authenticated標誌，因為在這個簡單的應用程式中只有一個元件。

如果我們執行這個增強的閘道器，我們不需要記住 UI 的 URL，只需載入主頁並點選連結。這是一個已認證使用者的主頁

到目前為止，我們的應用程式在功能上與第三節或第四節中的應用程式非常相似，但增加了一個專用的閘道器。額外層級的優勢可能尚未顯現，但我們可以透過稍微擴充套件系統來強調它。假設我們希望使用該閘道器暴露另一個後端 UI，供使用者“管理”主 UI 中的內容，並且我們希望將對此功能的訪問限制為具有特殊角色的使用者。因此，我們將在代理後面新增一個“Admin”應用程式，系統將如下所示

閘道器的application.yml中有一個新元件（Admin）和一條新路由

現有 UI 可供“USER”角色的使用者使用這一事實在上方的閘道器框（綠色字母）中指出，同樣，“ADMIN”角色需要訪問 Admin 應用程式這一事實也指出。 “ADMIN”角色的訪問決策可以在閘道器中應用，在這種情況下它將出現在WebSecurityConfigurerAdapter中，或者可以在 Admin 應用程式本身中應用（我們將在下面看到如何做到這一點）。

所以首先，建立一個新的 Spring Boot 應用程式，或者複製 UI 並進行編輯。您不需要對 UI 應用程式進行太多更改，除了名稱。完成的應用程式在Github 這裡。

假設在 Admin 應用程式中，我們想區分“READER”和“WRITER”角色，以便我們可以允許（比如說）審計員使用者檢視主要管理員使用者所做的更改。這是一個細粒度的訪問決策，規則只在後端應用程式中知道，並且應該只在後端應用程式中知道。在閘道器中，我們只需要確保我們的使用者帳戶具有所需的角色，並且此資訊可用，但閘道器不需要知道如何解釋它。在閘道器中，我們建立使用者帳戶以保持示例應用程式的自包含。

其中“admin”使用者已增強了 3 個新角色（“ADMIN”、“READER”和“WRITER”），我們還添加了一個具有“ADMIN”訪問許可權但沒有“WRITER”訪問許可權的“audit”使用者。

訪問決策在 Admin 應用程式中。對於“ADMIN”角色（此後端全域性要求），我們在 Spring Security 中進行處理。

對於“READER”和“WRITER”角色，應用程式本身是分開的，由於應用程式是用 JavaScript 實現的，所以我們需要在那裡做出訪問決策。一種方法是有一個帶有透過路由器嵌入的計算檢視的主頁。

當元件載入時計算路由

應用程式做的第一件事是檢查使用者是否已認證，並透過檢視使用者資料計算路由。路由在主模組中宣告。

這些元件（每個路由一個）都必須單獨實現。這裡以ReadComponent為例。

WriteComponent類似，但有一個表單可以在後端更改訊息。

AppService還需要提供資料來計算路由，所以在authenticate()函式中我們看到這一點。

為了支援後端上的此功能，我們需要/user端點，例如在我們的主應用程式類中。

我們還將使用角色在閘道器中進行訪問決策（以便我們可以有條件地顯示到管理員 UI 的連結），所以我們也應該在閘道器中的“/user”端點中新增“roles”。一旦到位，我們可以新增一些 JavaScript 來設定一個標誌，指示當前使用者是“ADMIN”。在authenticated()函式中

當用戶登出時，我們還需要將admin標誌重置為false

然後在 HTML 中我們可以有條件地顯示一個新連結

執行所有應用程式並訪問https://:8080檢視結果。一切都應該正常工作，並且 UI 應該根據當前認證的使用者而改變。

現在我們有了一個不錯的小系統，它有兩個獨立的 UI 和一個後端資源伺服器，所有這些都由閘道器中的相同認證保護。閘道器充當微代理的事實使得後端安全問題的實現極其簡單，並且它們可以自由地專注於自己的業務問題。Spring Session 的使用（再次）避免了大量的麻煩和潛在的錯誤。

一個強大的功能是後端可以獨立擁有任何型別的認證（例如，如果您知道其物理地址和一組本地憑據，則可以直接訪問 UI）。閘道器施加了一組完全不相關的約束，只要它能夠認證使用者併為他們分配滿足後端訪問規則的元資料。這是構建獨立開發和測試後端元件的優秀設計。如果需要，我們可以回到外部 OAuth2 伺服器（如第五節，甚至是完全不同的東西）進行閘道器處的認證，而無需觸及後端。

這種架構的一個額外特性（單個閘道器控制認證，以及所有元件共享會話令牌）是“單點登出”這一功能，我們在第五節中指出該功能難以實現，現在免費提供。更準確地說，我們完成的系統中自動提供了一種特定的單點登出使用者體驗方法：如果使用者從任何 UI（閘道器、UI 後端或管理後端）登出，他將從所有其他 UI 登出，前提是每個單獨的 UI 都以相同的方式實現了“登出”功能（使會話失效）。

“basic”應用程式中的“app”元件非常簡單，因此徹底測試它不會花費太多精力。這裡是程式碼的提醒。

我們面臨的主要挑戰是在測試中提供http物件，以便我們可以斷言它們在元件中的使用方式。實際上，甚至在我們面臨這個挑戰之前，我們需要能夠建立一個元件例項，這樣我們才能測試它載入時會發生什麼。以下是您可以做到這一點的方法。

透過ng new建立的應用程式中的 Angular 構建已經有一個 spec 和一些配置來執行它。生成的 spec 位於“src/app”中，它以這種方式開始。

在這個非常基本的測試套件中，我們有這些重要的元素

這裡的測試函式非常簡單，它實際上只斷言元件存在，所以如果失敗，測試就會失敗。

為了將規範改進到生產級別，我們實際上需要斷言控制器載入時會發生什麼。由於它呼叫了http.get()，我們需要模擬該呼叫以避免僅為單元測試執行整個應用程式。為此，我們使用 Angular HttpClientTestingModule。

這裡的新部分是

要執行我們的測試程式碼，我們可以使用設定專案時建立的便利指令碼./ng test（或./ng build）。它也作為 Maven 生命週期的一部分執行，所以./mvnw install也是執行測試的好方法，這將在您的 CI 構建中發生。

Angular 還有一個標準的構建設定，用於使用瀏覽器和生成的 JavaScript 的“端到端測試”。這些測試以“specs”的形式寫入頂層e2e目錄。本教程中的所有示例都包含一個非常簡單的端到端測試，它在 Maven 生命週期中執行（因此，如果您在任何“ui”應用程式中執行mvn install，您將看到一個瀏覽器視窗彈出）。

在現代 Web 應用程式中，能夠執行 JavaScript 單元測試非常重要，這是我們在這個系列中一直忽略（或迴避）的話題。透過這一期，我們介紹了編寫測試、在開發時執行測試以及更重要的是在持續整合環境中執行測試的基本要素。我們採取的方法不適合所有人，所以請不要因為以不同的方式進行而感到難過，但請確保您擁有所有這些要素。我們在這裡所做的方式可能會讓傳統的 Java 企業開發人員感到舒適，並且與他們現有的工具和流程很好地整合，所以如果您屬於這一類，我希望您會發現它是一個有用的起點。更多使用 Angular 和 Jasmine 進行測試的示例可以在網際網路上找到很多地方，但第一個參考點可能是本系列中的“single”示例，它現在有一些更新的測試程式碼，這些程式碼比本教程中“basic”示例所需的程式碼稍微不那麼簡單。

本教程中oauth2示例的登出使用者體驗是：您從 UI 應用程式登出，但未從認證伺服器登出，因此當您重新登入 UI 應用程式時，認證伺服器不會再次要求憑據。當認證伺服器是外部的時，這是完全預期、正常且可取的——Google 和其他外部認證伺服器提供商既不希望也不允許您從未受信任的應用程式中從其伺服器登出——但如果認證伺服器實際上是 UI 的一部分，則這不是最佳使用者體驗。

概括地說，OAuth2 客戶端認證的 UI 應用程式有三種登出模式

有時，即使您有一個外部認證伺服器，您也希望控制認證並新增內部訪問控制層（例如，認證伺服器不支援的範圍或角色）。那麼，使用 EA 進行認證，但擁有一個內部認證伺服器，可以向令牌新增您需要的額外詳細資訊，這是一個好主意。此OAuth2 教程中的auth-server示例向您展示瞭如何以非常簡單的方式實現這一點。然後，您可以將 GIA 或 SL 模式應用於包含內部認證伺服器的系統。

如果您不想要 EA，這裡有一些選項

請注意，當 SL 困難或不可能時，最好將所有 UI 都放在一個閘道器後面。這樣您就可以使用 GIA（更簡單）來控制整個資產的登出。

最簡單的兩個選項，在 GIA 模式中很好地應用，可以在教程示例中實現如下（以oauth2示例為起點並從那裡開始）。

在瀏覽器客戶端中新增幾行程式碼，以便在 UI 應用程式登出後立即從認證伺服器登出，這非常容易。例如

在此示例中，我們將認證伺服器登出端點 URL 硬編碼到 JavaScript 中，但如果需要，很容易將其外部化。它必須是直接 POST 到認證伺服器，因為我們希望會話 cookie 也一起傳送。只有當我們明確要求withCredentials:true時，XHR 請求才會從瀏覽器發出並附帶 cookie。

相反，在伺服器上我們需要一些 CORS 配置，因為請求來自不同的域。例如，在WebSecurityConfigurerAdapter中

“/logout”端點經過特殊處理。它允許從任何來源呼叫，並明確允許傳送憑據（例如 cookie）。允許的標頭只是 Angular 在示例應用程式中傳送的那些。

除了 CORS 配置，我們還需要為登出端點停用 CSRF，因為 Angular 不會在跨域請求中傳送X-XSRF-TOKEN標頭。認證伺服器之前不需要任何 CSRF 配置，但很容易為登出端點新增一個忽略。

透過這兩個簡單的更改，一個在 UI 應用程式客戶端，一個在認證伺服器，您會發現一旦您從 UI 應用程式登出，當您重新登入時，您將始終被要求輸入密碼。

另一個有用的更改是將 OAuth2 客戶端設定為自動批准，這樣使用者就不必批准令牌授予。這在內部認證伺服器中很常見，使用者不將其視為一個獨立的系統。在AuthorizationServerConfigurerAdapter中，您只需要在客戶端初始化時設定一個標誌。

如果您不喜歡在登出端點上放棄 CSRF 保護，您可以嘗試另一種簡單的方法，即在授予令牌後（實際上是生成授權碼後）立即使認證伺服器中的使用者會話失效。這也很容易實現：從oauth2示例開始，只需向 OAuth2 端點新增一個HandlerInterceptor。

此攔截器查詢RedirectView，這是一個訊號，表示使用者正在被重定向回客戶端應用程式，並檢查該位置是否包含授權碼或錯誤。如果您也使用隱式授權，則可以新增“token=”。

透過這個簡單的更改，一旦您進行認證，認證伺服器中的會話就已經失效，因此無需嘗試從客戶端管理它。當您從 UI 應用程式登出，然後重新登入時，認證伺服器不會識別您並提示輸入憑據。此模式由本教程原始碼中的oauth2-logout示例實現。這種方法的缺點是您不再真正擁有真正的單點登入——系統中作為您系統一部分的任何其他應用程式都會發現認證伺服器會話已失效，並且它們必須再次提示進行認證——如果存在多個應用程式，這並不是一個很好的使用者體驗。

在本節中，我們已經看到了如何實現兩種不同的 OAuth2 客戶端應用程式登出模式（以教程第五節中的應用程式為起點），並討論了其他模式的一些選項。這些選項並非詳盡無遺，但應該能讓您很好地瞭解所涉及的權衡，以及一些思考您的用例最佳解決方案的工具。本節中只有幾行 JavaScript，而且它並不真正特定於 Angular（它為 XHR 請求添加了一個標誌），因此所有教訓和模式都適用於本指南中示例應用程式的狹窄範圍之外。一個反覆出現的主題是，所有涉及多個 UI 應用程式和單個認證伺服器的單點登出 (SL) 方法都傾向於存在某種缺陷：您能做的最好的事情就是選擇最讓您的使用者感到舒適的方法。如果您有一個內部認證伺服器和一個由許多元件組成的系統，那麼可能唯一讓使用者感覺像單個系統的架構就是所有使用者互動的閘道器。

想寫新指南或為現有指南做貢獻嗎？請檢視我們的貢獻指南。