Spring Security 和 Angular

HTML5、豐富的基於瀏覽器的特性以及“單頁應用”是現代開發人員極其寶貴的工具，但任何有意義的互動都將涉及後端伺服器，因此除了靜態內容（HTML、CSS 和 JavaScript）之外，我們還需要一個後端伺服器。後端伺服器可以扮演以下一個或多個角色：提供靜態內容，有時（但現在不那麼頻繁）渲染動態 HTML，認證使用者，保護受保護資源的訪問，以及（最後但並非最不重要）透過 HTTP 和 JSON（有時稱為 REST API）與瀏覽器中的 JavaScript 進行互動。

Spring 一直是構建後端特性（尤其是在企業中）的流行技術，而隨著 Spring Boot 的出現，一切都變得前所未有的簡單。讓我們看看如何使用 Spring Boot、Angular 和 Twitter Bootstrap 從零開始構建一個新的單頁應用。選擇這個特定的技術棧沒有特別的原因，但它非常流行，尤其是在企業 Java 商店的核心 Spring 使用者群中，因此是一個值得關注的起點。

我們將詳細介紹建立這個應用程式的步驟，以便任何對 Spring 和 Angular 不完全熟悉的人都能理解正在發生的事情。如果你想直接看結果，可以跳到最後，那裡應用程式已經可以執行，並檢視它們是如何協同工作的。建立新專案有多種選擇

我們要構建的完整專案的原始碼在這裡的 Github 上，所以你可以直接克隆專案並在那裡工作。然後跳到下一節。

如今，Angular（或任何現代前端框架）單頁應用的核心將是一個 Node.js 構建。Angular 提供了一些工具來快速設定它，所以讓我們使用這些工具，並保留使用 Maven 構建的選項，就像任何其他 Spring Boot 應用一樣。關於如何設定 Angular 應用的詳細資訊在其他地方有介紹，或者你可以直接從 github checkout 本教程的程式碼。

讓我們定製 "app-root" 元件（在 "src/app/app.component.ts" 中）。

一個最小的 Angular 應用程式看起來像這樣

這段 TypeScript 中的大部分程式碼都是樣板程式碼。有趣的部分都在 AppComponent 中，我們在其中定義了 "selector"（HTML 元素的名稱）並透過 @Component 註解渲染一段 HTML 程式碼。我們還需要編輯 HTML 模板（"app.component.html"）

如果你將這些檔案新增到 "src/app" 下並重新構建你的應用，它現在應該是安全且可用的，並且會顯示 "Hello World!"。greeting 由 Angular 在 HTML 中使用 handlebar 佔位符 {{greeting.id}} 和 {{greeting.content}} 渲染。

到目前為止，我們有一個應用程式，其中的問候語是硬編碼的。這對於學習如何將各個部分組合在一起很有用，但我們實際上期望內容來自後端伺服器，所以讓我們建立一個 HTTP 端點，我們可以用它來獲取問候語。在你的應用程式類（在 "src/main/java/demo" 中）中，新增 @RestController 註解並定義一個新的 @RequestMapping

執行該應用程式並嘗試使用 curl 訪問 "/resource" 端點，你會發現它預設是安全的

如果你使用一些開發者工具（通常按 F12 開啟，在 Chrome 中預設可用，在 Firefox 中可能需要外掛），可以在瀏覽器中看到瀏覽器和後端之間的互動。這裡有一個摘要

你可能看不到 401 響應，因為瀏覽器將主頁載入視為一次單獨的互動；你可能會看到對 "/resource" 的兩次請求，因為存在一個 CORS 協商。

更仔細地檢視請求，你會發現所有請求都帶有一個 "Authorization" 頭，類似這樣

瀏覽器在每次請求時都發送使用者名稱和密碼（所以在生產環境中務必只使用 HTTPS）。這與 "Angular" 沒有任何關係，因此它適用於你選擇的任何 JavaScript 框架或非框架。

Angular 應用程式的核心是一個用於基本頁面佈局的 HTML 模板。我們之前已經有一個非常基本的模板，但對於此應用程式，我們需要提供一些導航功能（登入、退出、主頁），所以讓我們修改它（在 src/app 中）

主要內容是一個 <router-outlet/>，還有一個帶有登入和退出連結的導航欄。

<router-outlet/> 選擇器由 Angular 提供，需要將其與主模組中的元件連線起來。每個路由（每個菜單鏈接）將對應一個元件，並有一個輔助服務（AppService）將它們連線起來並共享一些狀態。以下是將所有部分組合在一起的模組實現

我們添加了對名為"RouterModule" 的 Angular 模組的依賴，這使我們能夠將一個神奇的 router 注入到 AppComponent 的建構函式中。routes 在 AppModule 的 imports 中用於設定指向 "/"（"home" 控制器）和 "/login"（"login" 控制器）的連結。

我們還在其中偷偷加入了 FormsModule，因為稍後它將用於將資料繫結到使用者登入時要提交的表單。

UI 元件都是“宣告 (declarations)”，服務粘合層是“提供者 (provider)”。AppComponent 實際上並沒有做太多事情。與應用根元件對應的 TypeScript 元件在這裡

主要特點

我們上面注入的 app 服務需要一個布林標誌來判斷使用者當前是否已認證，以及一個 authenticate() 函式，該函式可用於與後端伺服器進行認證，或僅查詢使用者詳情

authenticated 標誌很簡單。authenticate() 函式在提供了 HTTP Basic 認證憑據時傳送它們，否則不傳送。它還有一個可選的 callback 引數，如果認證成功，我們可以使用它來執行一些程式碼。

為了支援我們剛剛新增的登入表單，我們需要新增一些更多功能。在客戶端，這些將在 LoginComponent 中實現；在伺服器端，它將是 Spring Security 的配置。

如果你此時執行應用程式，你會發現瀏覽器會彈出一個 Basic 認證對話方塊（要求輸入使用者和密碼）。這是因為它看到了來自 /user 和 /resource 的 XHR 請求的 401 響應，並且帶有一個 "WWW-Authenticate" 頭。抑制此彈出視窗的方法是抑制該頭部，該頭部來自 Spring Security。而抑制響應頭部的方法是傳送一個特殊的、約定俗成的請求頭部 "X-Requested-With=XMLHttpRequest"。這曾經是 Angular 的預設行為，但他們在 1.3.0 版本中將其移除。所以這裡介紹如何在 Angular XHR 請求中設定預設頭部。

首先擴充套件 Angular HTTP 模組提供的預設 RequestOptions

這裡的語法是樣板程式碼。Class 的 implements 屬性是它的基類，除了建構函式之外，我們真正需要做的就是覆蓋總是由 Angular 呼叫的 intercept() 函式，該函式可用於新增額外的頭部。

要安裝這個新的 RequestOptions 工廠，我們需要在 AppModule 的 providers 中宣告它

應用程式的功能性部分幾乎完成了。我們需要做的最後一件事是實現我們在主頁中勾勒的退出功能。如果使用者已認證，我們就顯示一個“退出”連結並將其掛接到 AppComponent 的 logout() 函式。請記住，它會向 "/logout" 傳送一個 HTTP POST 請求，我們現在需要在伺服器上實現它。這很直接，因為 Spring Security 已經為我們添加了（即，對於這個簡單的用例，我們不需要做任何事情）。如果需要更精細地控制退出行為，你可以在 WebSecurityAdapter 中使用 HttpSecurity 回撥，例如在退出後執行一些業務邏輯。

應用程式幾乎可以使用了，事實上，如果你執行它，你會發現到目前為止我們構建的一切都正常工作，除了退出連結。嘗試使用它並檢視瀏覽器中的響應，你就會明白原因

這是好的，因為這意味著 Spring Security 內建的 CSRF 保護已生效，防止我們自找麻煩。它只需要在名為 "X-CSRF" 的頭部中傳送一個令牌。CSRF 令牌的值在伺服器端可以透過載入主頁的初始請求的 HttpRequest 屬性獲取。要將其傳遞給客戶端，我們可以在伺服器上使用動態 HTML 頁面渲染它，或透過自定義端點暴露它，或者我們也可以將其作為 cookie 傳送。最後一種選擇是最好的，因為 Angular 基於 cookie 內建了對 CSRF 的支援（它稱之為 "XSRF"）。

所以在伺服器端，我們需要一個自定義過濾器來發送 cookie。Angular 希望 cookie 名稱為 "XSRF-TOKEN"，而 Spring Security 預設將其作為請求屬性提供，所以我們只需要將值從請求屬性轉移到 cookie。幸運的是，Spring Security（自 4.1.0 版本起）提供了一個特殊的 CsrfTokenRepository，它可以精確地實現這一點

進行這些更改後，我們不需要在客戶端做任何事情，登入表單現在可以正常工作了。

如果你使用一些開發者工具（通常按 F12 開啟，在 Chrome 中預設可用，在 Firefox 中可能需要外掛），可以在瀏覽器中看到瀏覽器和後端之間的互動。這裡有一個摘要

上面標記為“已忽略”的響應是 Angular 在 XHR 呼叫中接收到的 HTML 響應，由於我們不處理這些資料，所以 HTML 被丟棄了。在訪問 "/user" 資源時，我們確實查詢已認證的使用者，但由於在第一次呼叫中沒有認證使用者，所以該響應被丟棄了。

更仔細地檢視請求，你會發現它們都帶有 cookie。如果你從一個乾淨的瀏覽器開始（例如 Chrome 的隱身模式），第一次請求不會向伺服器傳送任何 cookie，但伺服器會返回設定 "JSESSIONID"（常規的 HttpSession）和 "X-XSRF-TOKEN"（我們上面設定的 CRSF cookie）的 "Set-Cookie" 頭部。隨後的請求都帶有這些 cookie，它們非常重要：應用程式沒有它們就無法工作，並且它們提供了一些非常基本的安全功能（認證和 CSRF 保護）。使用者認證後（POST 請求後），cookie 的值會發生變化，這是另一個重要的安全功能（防止會話固定攻擊）。

“等等…​” 你會說，“在單頁應用程式中使用會話狀態難道不是真的不好嗎？” 對這個問題的回答必須是“大部分情況下”，因為它確實是用於認證和 CSRF 保護的“好”東西。這種狀態必須儲存在某個地方，如果你將其從會話中取出，你就必須將其放在其他地方，並在伺服器和客戶端手動管理它。這隻會增加程式碼量和維護成本，而且通常是在重複發明一個已經很好的輪子。

“但是，但是…​”你會回應，“我現在如何水平擴充套件我的應用程式呢？”這才是你上面提出的“真正”問題，但它往往被簡化為“會話狀態不好，我必須是無狀態的”。不要驚慌。這裡要理解的關鍵點是，安全性*是*有狀態的。你無法擁有一個安全、無狀態的應用程式。那麼，你要把狀態儲存在哪裡呢？這就是問題的全部。 Rob Winch 在 Spring Exchange 2014 上發表了一個非常有益且富有洞察力的演講，解釋了狀態的必要性（以及它的普遍性——TCP 和 SSL 都是有狀態的，所以無論你知不知道，你的系統都是有狀態的），如果你想更深入地研究這個話題，可能值得一看。

好訊息是你有一個選擇。最簡單的選擇是將會話資料儲存在記憶體中，並依賴負載均衡器中的粘性會話（Sticky Sessions）將來自同一會話的請求路由回同一 JVM（它們或多或少都支援這一點）。這足以讓你起步，並且適用於非常多的使用場景。另一個選擇是在你的應用程式例項之間共享會話資料。只要你嚴格只儲存安全資料，這些資料就會很小且不經常變化（僅在使用者登入、登出或會話超時時發生），因此不應該引起任何重大的基礎設施問題。使用Spring Session實現這一點也非常容易。在本系列的下一節中，我們將使用 Spring Session，因此這裡無需詳細介紹如何設定它，但它實際上只需要幾行程式碼和一個 Redis 伺服器，後者速度非常快。

如果這是你對上一節的反應，那麼請再讀一遍，也許你第一次沒有完全理解。如果你將令牌儲存在某個地方，那麼它很可能不是無狀態的，但即使你沒有（例如，你使用 JWT 編碼令牌），你又將如何提供 CSRF 保護呢？這很重要。這裡有一個經驗法則（歸因於 Rob Winch）：如果你的應用程式或 API 將被瀏覽器訪問，你就需要 CSRF 保護。這並不是說你沒有會話就做不到，只是你必須自己編寫所有這些程式碼，而這樣做的意義何在呢？因為它已經在 `HttpSession` 之上完美實現並執行良好（`HttpSession` 本身就是你使用的容器的一部分，並且從一開始就被納入規範）。即使你決定不需要 CSRF，並且有一個完美的“無狀態”（非基於會話）令牌實現，你仍然需要在客戶端編寫額外的程式碼來消費和使用它，而原本你可以直接委託給瀏覽器和伺服器自身的內建功能：瀏覽器總是傳送 cookies，伺服器總是有一個會話（除非你將其關閉）。這些程式碼不是業務邏輯，它們不會為你賺錢，只是一個開銷，甚至更糟的是，它們會讓你花錢。

我們現在的應用程式已經接近使用者在真實生產環境中期望的“真實”應用程式，並且很可能可以作為模板，基於這種架構（單伺服器提供靜態內容和 JSON 資源）構建出功能更豐富的應用程式。我們使用 `HttpSession` 儲存安全資料，依賴客戶端遵守和使用我們傳送的 cookies，我們對此感到滿意，因為它讓我們能夠專注於自己的業務領域。在下一節中，我們將架構擴充套件為一個獨立的認證和 UI 伺服器，再加上一個獨立的 JSON 資源伺服器。這顯然可以很容易地推廣到多個資源伺服器。我們還將引入 Spring Session 到技術棧中，並展示如何使用它來共享認證資料。

瀏覽器嘗試與我們的資源伺服器進行協商，以根據跨域資源共享（Cross Origin Resource Sharing）協議確定是否允許訪問。這不是 Angular 的職責，因此就像 cookie 契約一樣，它對瀏覽器中的所有 JavaScript 都以這種方式工作。這兩個伺服器沒有宣告它們擁有共同的源（origin），因此瀏覽器拒絕傳送請求，UI 功能失效。

為了解決這個問題，我們需要支援 CORS 協議，該協議涉及一個“預檢”（pre-flight）OPTIONS 請求和一些用於列出呼叫方允許行為的頭資訊。Spring 4.2 有一些很好的細粒度 CORS 支援，因此我們只需在控制器對映上新增一個註解即可，例如：

太好了！我們有了一個採用新架構且能正常工作的應用程式。唯一的問題是資源伺服器沒有安全性。

網際網路以及人們的 Spring 後端專案中充斥著各種自定義的基於令牌的認證解決方案。Spring Security 提供了一個基本的 `Filter` 實現，幫助你開始構建自己的解決方案（例如，參閱 `AbstractPreAuthenticatedProcessingFilter` 和 `TokenService`）。不過，Spring Security 中沒有一個規範的實現，原因之一可能是有更簡單的方法。

回顧本系列第二部分的內容，Spring Security 預設使用 `HttpSession` 來儲存認證資料。不過，它並不直接與會話互動：中間有一個抽象層（`SecurityContextRepository`），你可以使用它來改變儲存後端。如果我們能將資源伺服器中的該儲存庫指向一個儲存了由我們的 UI 驗證過的認證資訊的地方，那麼我們就有了在兩個伺服器之間共享認證的方法。UI 伺服器已經有這樣的儲存（`HttpSession`），所以如果我們能將該儲存分發並開放給資源伺服器，我們就有了解決方案的大部分。

唯一缺失的部分是將儲存中資料對應的 key 進行傳輸的機制。這個 key 就是 `HttpSession` ID，所以如果我們在 UI 客戶端中能夠獲取到這個 key，我們就可以將其作為自定義頭資訊傳送給資源伺服器。因此，“home”控制器需要修改，使其在為 greeting 資源傳送 HTTP 請求時包含該頭資訊。例如：

（一個更優雅的解決方案可能是在需要時獲取令牌，並使用我們的 `RequestOptionsService` 將頭資訊新增到每個傳送到資源伺服器的請求中。）

我們沒有直接訪問 "https://:9000"，而是將該呼叫封裝在了 UI 伺服器上的一個新的自定義端點 "/token" 的成功回撥中。其實現非常簡單：

因此，UI 應用程式已準備就緒，並將會在所有對後端的呼叫中包含名為 "X-Auth-Token" 的頭資訊中的會話 ID。

為了讓資源伺服器能夠接受自定義頭資訊，需要對其進行一個微小的修改。CORS 配置必須將該頭資訊指定為遠端客戶端允許的頭資訊，例如：

瀏覽器發出的預檢檢查現在將由 Spring MVC 處理，但我們需要告訴 Spring Security 允許它透過：

剩下的就是獲取資源伺服器中的自定義令牌，並用它來認證我們的使用者。這相當直接，因為我們只需告訴 Spring Security 會話儲存庫在哪裡，以及在傳入請求中去哪裡查詢令牌（會話 ID）。首先我們需要新增 Spring Session 和 Redis 依賴，然後我們可以設定 `Filter`：

建立的這個 `Filter` 與 UI 伺服器中的那個是映象關係，它將 Redis 建立為會話儲存。唯一的區別在於它使用了一個自定義的 `HttpSessionStrategy`，該策略會在頭資訊中查詢（預設為 "X-Auth-Token"），而不是預設的（名為 "JSESSIONID" 的 cookie）。我們還需要阻止瀏覽器在未經認證的客戶端彈出對話方塊 - 應用程式是安全的，但預設會發送一個帶有 `WWW-Authenticate: Basic` 的 401 響應，因此瀏覽器會彈出一個要求輸入使用者名稱和密碼的對話方塊。有不止一種方法可以實現這一點，但我們已經讓 Angular 傳送了 "X-Requested-With" 頭資訊，因此 Spring Security 預設會為我們處理。

為了使資源伺服器與我們的新認證方案協同工作，還需要對其進行最後一個修改。Spring Boot 預設的安全是無狀態的，而我們希望它將認證資訊儲存在會話中，因此我們需要在 `application.yml`（或 `application.properties`）中明確指定：

這告訴 Spring Security “永不建立會話，但如果存在就使用”（由於在 UI 中進行了認證，會話將已經存在）。

重新啟動資源伺服器，並在新的瀏覽器視窗中開啟 UI。

我們必須使用自定義頭資訊並在客戶端編寫程式碼來填充該頭資訊，這雖然不太複雜，但這似乎與第二部分中關於儘可能使用 cookies 和 sessions 的建議相矛盾。那裡的論點是，不這樣做會引入不必要的額外複雜性，而且可以肯定的是，我們現在的實現是迄今為止我們所見過的最複雜的：解決方案的技術部分遠遠超過了業務邏輯（儘管業務邏輯確實很小）。這無疑是一個合理的批評（也是我們計劃在本系列下一節中解決的問題），但讓我們簡單地看看為什麼不能簡單地對所有事情都使用 cookies 和 sessions。

至少我們仍然在使用會話，這是有道理的，因為 Spring Security 和 Servlet 容器知道如何毫不費力地做到這一點。但我們難道不能繼續使用 cookies 來傳輸認證令牌嗎？那會很不錯，但它不起作用是有原因的，那就是瀏覽器不允許我們這樣做。你當然可以從 JavaScript 客戶端在瀏覽器的 cookie 儲存中檢視，但有一些限制，而且這是有充分理由的。特別是，你無法訪問伺服器設定為 "HttpOnly" 的 cookies（你會發現會話 cookie 預設就是這樣）。你也不能在發出的請求中設定 cookies，所以我們無法設定 "SESSION" cookie（這是 Spring Session 預設的 cookie 名稱），我們必須使用自定義的 "X-Session" 頭資訊。這兩項限制都是為了保護你自己，防止惡意指令碼未經授權訪問你的資源。

TL;DR（太長不看）：UI 和資源伺服器沒有共同的源（origin），所以它們不能共享 cookies（儘管我們可以使用 Spring Session 強制它們共享 sessions）。

我們已經複製了本系列第二部分中應用程式的功能：一個主頁，其中包含從遠端後端獲取的 greeting，以及導航欄中的登入和登出連結。不同之處在於 greeting 來自一個獨立的資源伺服器，而不是嵌入在 UI 伺服器中。這給實現增加了顯著的複雜性，但好訊息是我們有一個大部分基於配置（並且實際上是 100% 宣告式）的解決方案。我們甚至可以透過將所有新程式碼提取到庫中（Spring 配置和 Angular 自定義指令）來使解決方案實現 100% 宣告式。我們將這個有趣的後續任務推遲到接下來的幾部分之後。在下一節中，我們將探討另一種極好的方法來減少當前實現中的所有複雜性：API 閘道器模式（客戶端將其所有請求傳送到一個地方，並在那裡處理認證）。

API 閘道器是前端客戶端（可以是基於瀏覽器的，如本節示例所示，也可以是移動端）的單一入口點（和控制點）。客戶端只需要知道一個伺服器的 URL，後端可以隨意重構而無需改變，這是一個顯著的優勢。在集中化和控制方面還有其他優勢：限流、認證、審計和日誌記錄。使用Spring Cloud實現一個簡單的反向代理非常簡單。

如果你一直在跟隨程式碼實踐，你會知道上一節結束時的應用程式實現有些複雜，所以這不是一個好的起點來繼續迭代。然而，有一箇中間狀態我們可以更容易地開始，即後端資源尚未受到 Spring Security 的保護。它的原始碼是 Github 上的一個獨立專案在此，所以我們將從那裡開始。它有一個 UI 伺服器和一個資源伺服器，並且它們之間可以相互通訊。資源伺服器還沒有 Spring Security，所以我們可以先讓系統工作起來，然後再新增那一層安全性。

你可能還記得，我們開始的中間狀態下，資源伺服器沒有設定任何安全性。

假設我們決定確實需要在軟體層面設定安全性（這很可能是出於多種原因）。這不會有問題，因為我們只需要將 Spring Security 新增為依賴即可（在資源伺服器的 POM 中）：

這足以讓我們的資源伺服器變得安全，但應用程式仍然無法正常工作，原因與在第三部分中相同：兩個伺服器之間沒有共享的認證狀態。

我們可以使用與上一節相同的機制來共享認證（和 CSRF）狀態，即使用Spring Session。我們像之前一樣向兩個伺服器都新增依賴：

但這次配置要簡單得多，因為我們只需在兩者中新增相同的 `Filter` 宣告即可。首先是 UI 伺服器，明確宣告我們希望轉發所有頭資訊（即沒有頭資訊是“敏感的”）：

然後我們可以轉向資源伺服器。需要進行兩項小修改：一項是明確停用資源伺服器中的 HTTP Basic 認證（以防止瀏覽器彈出認證對話方塊）：

另一項是明確要求在 `application.properties` 中設定非無狀態的會話建立策略：

只要 Redis 在後臺仍然執行（如果你喜歡，可以使用`docker-compose.yml`來啟動它），系統就可以工作。在 https://:8080 載入 UI 的主頁，然後登入，你就會看到後端在主頁上渲染的訊息。

現在幕後發生了什麼？首先我們可以看看 UI 伺服器（和 API 閘道器）中的 HTTP 請求：

這與第二部分末尾的序列相同，只是 cookie 名稱略有不同（"SESSION" 而不是 "JSESSIONID"），因為我們使用了 Spring Session。但架構是不同的，最後一個對 "/resource" 的請求是特殊的，因為它被代理到了資源伺服器。

我們可以透過檢視 UI 伺服器（來自 Spring Boot Actuator，我們透過 Spring Cloud 依賴添加了它）中的 "/trace" 端點來檢視反向代理的執行情況。在新的瀏覽器中訪問 https://:8080/trace（如果你還沒有，可以為瀏覽器安裝一個 JSON 外掛，使其更易讀）。你需要使用 HTTP Basic 進行認證（瀏覽器彈出視窗），但憑據與你的登入表單相同。在開始或接近開始的地方，你應該會看到一對請求，大致如下：

第二個條目是客戶端向閘道器發出的 "/resource" 請求，你可以看到 cookies（由瀏覽器新增）和 CSRF 頭資訊（由 Angular 新增，如第二部分所討論）。第一個條目有 `remote: true`，這意味著它跟蹤的是對資源伺服器的呼叫。你可以看到它發出了對 uri 路徑 "/" 的請求，你也可以看到（至關重要地）cookies 和 CSRF 頭資訊也被髮送了。沒有 Spring Session，這些頭資訊對資源伺服器將毫無意義，但透過我們的設定，它現在可以使用這些頭資訊重新構建包含認證和 CSRF 令牌資料的會話。因此，請求被允許，一切正常！

在本節中我們討論了相當多內容，但我們達到了一個非常好的狀態，兩個伺服器中的樣板程式碼量最少，它們都得到了很好的保護，並且使用者體驗沒有受到影響。僅憑這一點，就已經足夠成為使用 API 閘道器模式的理由了，但實際上我們只觸及了它可以用於哪些方面的皮毛（Netflix 使用它做很多事情）。閱讀Spring Cloud，瞭解更多關於如何輕鬆地向閘道器新增更多功能的資訊。本系列的下一節將透過將認證職責提取到一個獨立的伺服器（單點登入模式）來稍微擴充套件應用程式架構。

我們的第一步是建立一個新的伺服器來處理認證和令牌管理。按照第一部分中的步驟，我們可以從Spring Boot Initializr開始。例如，在類 UN*X 系統上使用 curl：

然後你可以將該專案（預設情況下是一個普通的 Maven Java 專案）匯入到你喜歡的 IDE 中，或者直接在命令列中使用檔案和 "mvn" 命令。

如果我們接著第四部分的內容，我們的資源伺服器正在使用Spring Session進行認證，因此我們可以移除它並用 Spring OAuth 替換。我們還需要移除 Spring Session 和 Redis 依賴，所以替換以下內容：

替換為以下內容：

然後從主應用程式類中移除會話 `Filter`，並將其替換為方便的 `@EnableResourceServer` 註解（來自 Spring Security OAuth2）：

透過這一改變，應用程式已準備好請求訪問令牌，而不是使用 HTTP Basic，但我們需要修改配置才能真正完成該過程。我們將新增少量外部配置（在 "application.properties" 中），以允許資源伺服器解碼收到的令牌並驗證使用者身份。

這告訴伺服器可以使用令牌訪問 "/user" 端點，並使用該端點派生身份驗證資訊（這有點類似於 Facebook API 中的 "/me" 端點）。它實際上提供了一種資源伺服器解碼令牌的方式，正如 Spring OAuth2 中 ResourceServerTokenServices 介面所表達的那樣。

執行應用程式並使用命令列客戶端訪問主頁

您將看到一個 401 響應，其中包含一個指示需要持有者令牌的 "WWW-Authenticate" 頭部。

在授權伺服器上，我們可以輕鬆新增該端點

我們添加了與 第二部分 中的 UI 伺服器相同的 @RequestMapping，以及 Spring OAuth 的 @EnableResourceServer 註解，該註解預設情況下保護授權伺服器中的所有內容，除了 "/oauth/*" 端點。

有了這個端點，我們就可以測試它和 greeting 資源了，因為它們現在都接受由授權伺服器建立的持有者令牌。

（用您自己的授權伺服器獲得的訪問令牌值替換，以便自己執行它。）

我們需要完成的應用程式的最後一部分是 UI 伺服器，它提取身份驗證部分並委託給授權伺服器。因此，就像 資源伺服器 一樣，我們首先需要移除 Spring Session 和 Redis 依賴項，並用 Spring OAuth2 替換它們。由於我們在 UI 層使用了 Zuul，我們實際使用的是 spring-cloud-starter-oauth2 而不是直接使用 spring-security-oauth2（這會設定一些用於透過代理中繼令牌的自動配置）。

完成後，我們也可以移除會話過濾器和 "/user" 端點，並設定應用程式重定向到授權伺服器（使用 @EnableOAuth2Sso 註解）。

回顧 第四部分，UI 伺服器憑藉 @EnableZuulProxy 的功能充當 API 閘道器，我們可以在 YAML 中宣告路由對映。因此 "/user" 端點可以被代理到授權伺服器。

最後，我們需要將應用程式更改為 WebSecurityConfigurerAdapter，因為它現在將用於修改 @EnableOAuth2Sso 設定的 SSO 過濾器鏈中的預設值。

主要的更改（除了基類名）是匹配器移到自己的方法中，並且不再需要 formLogin()。顯式的 logout() 配置明確添加了一個不受保護的成功 URL，這樣對 /logout 的 XHR 請求將成功返回。

@EnableOAuth2Sso 註解還需要一些強制性的外部配置屬性，以便能夠連線到正確的授權伺服器並進行身份驗證。因此，我們在 application.yml 中需要以下內容。

大部分內容是關於 OAuth2 客戶端（"acme"）和授權伺服器位置的。還有一個 userInfoUri（就像在資源伺服器中一樣），這樣使用者可以在 UI 應用程式本身中進行身份驗證。

現在一起執行所有伺服器，並在瀏覽器中訪問 UI：https://:8080。點選“登入”連結，您將被重定向到授權伺服器進行身份驗證（HTTP Basic 彈窗）並批准令牌授權（白標 HTML），然後重定向回 UI 中的主頁，主頁上的 greeting 是使用與 UI 身份驗證相同的令牌從 OAuth2 資源伺服器獲取的。

如果你使用一些開發者工具（通常按 F12 開啟，在 Chrome 中預設可用，在 Firefox 中可能需要外掛），可以在瀏覽器中看到瀏覽器和後端之間的互動。這裡有一個摘要

帶 (uaa) 字首的請求是發往授權伺服器的。標記為“忽略”的響應是 Angular 在 XHR 呼叫中收到的響應，由於我們不處理這些資料，它們就被丟棄了。我們在處理 "/user" 資源時確實查詢已驗證的使用者，但由於在第一次呼叫中不存在，該響應被丟棄了。

在 UI 的 "/trace" 端點中（向下滾動到底部），您將看到代理的後端請求，目標是 "/user" 和 "/resource"，使用 remote:true 和持有者令牌而不是 cookie（就像 第四部分 中一樣）進行身份驗證。Spring Cloud Security 為我們處理了這一切：透過識別我們使用了 @EnableOAuth2Sso 和 @EnableZuulProxy，它已經確定（預設情況下）我們希望將令牌中繼到代理的後端。

如果您點選“退出”連結，您會看到主頁發生變化（greeting 不再顯示），因此使用者不再透過 UI 伺服器進行身份驗證。但是，如果您再次點選“登入”，您實際上不需要再次透過授權伺服器的身份驗證和批准流程（因為您沒有退出授權伺服器）。關於這是否是理想的使用者體驗，人們的意見分歧很大，這是一個眾所周知的棘手問題（單點退出：Science Direct 文章 和 Shibboleth 文件）。理想的使用者體驗在技術上可能不可行，而且您有時也必須懷疑使用者是否真的想要他們所說的。 “我想‘退出’讓我退出”聽起來足夠簡單，但顯而易見的回答是，“退出什麼？您是想退出由該 SSO 伺服器控制的所有系統，還是僅僅退出您點選了‘退出’連結的那個系統？”如果您感興趣，本教程的 後續章節 對此有更深入的討論。

我們的 Spring Security 和 Angular 技術棧的淺嘗之旅即將結束。我們現在擁有一個不錯的架構，在 UI/API 閘道器、資源伺服器和授權伺服器/令牌授予方這三個獨立元件中職責分明。所有層中的非業務程式碼量現在已降至最低，並且很容易看出在哪裡可以透過更多業務邏輯來擴充套件和改進實現。接下來的步驟將是整理授權伺服器中的 UI，並可能新增更多測試，包括對 JavaScript 客戶端的測試。另一個有趣的 M 任務是提取所有樣板程式碼並將其放入一個庫（例如 "spring-security-angular"）中，該庫包含 Spring Security 和 Spring Session 自動配置以及 Angular 部分中導航控制器的 webjars 資源。閱讀了本系列中的章節後，任何希望學習 Angular 或 Spring Security 內部工作原理的人可能會感到失望，但如果您想了解它們如何良好地協同工作以及一點點配置如何能產生很大作用，那麼希望您會有一次愉快的體驗。Spring Cloud 是新的，這些示例在編寫時需要快照版本，但現在已有候選釋出版本，GA 版本即將釋出，因此請檢視並 透過 Github 或 gitter.im 傳送一些反饋。

本系列的 下一節 將討論訪問決策（超越身份驗證）並在同一代理後使用多個 UI 應用程式。

您可以在 Github 原始碼 中找到此應用程式的另一個版本，該版本具有漂亮的登入頁面和使用者批准頁面，實現方式類似於我們在 第二部分 中實現登入頁面的方式。它還使用 JWT 對令牌進行編碼，因此資源伺服器無需使用 "/user" 端點，而是可以從令牌本身中提取足夠的資訊進行簡單的身份驗證。瀏覽器客戶端仍然使用它，透過 UI 伺服器代理，以便確定使用者是否已驗證（與實際應用程式中可能對資源伺服器進行的呼叫次數相比，它不需要經常這樣做）。

這是我們打算開始構建的基本系統的圖片

與本系列中的其他示例應用程式一樣，它包含一個 UI（HTML 和 JavaScript）和一個資源伺服器。與 第四節 中的示例一樣，它有一個閘道器，但在這裡閘道器是獨立的，不屬於 UI 的一部分。UI 實際上成為了後端的一部分，這使我們在重新配置和重新實現功能方面有了更多選擇，並且帶來了我們稍後將看到的其他好處。

瀏覽器訪問閘道器處理所有事務，它不需要知道後端架構（從根本上說，它不知道後端存在）。瀏覽器在此閘道器中做的一件事是身份驗證，例如，它像 第二節 中那樣傳送使用者名稱和密碼，並獲得一個 cookie 作為回報。在後續請求中，它會自動提供 cookie，閘道器將其傳遞給後端。客戶端無需編寫程式碼即可啟用 cookie 傳遞。後端使用 cookie 進行身份驗證，並且由於所有元件共享會話，它們共享關於使用者的相同資訊。這與 第五節 不同，在第五節中，cookie 必須在閘道器中轉換為訪問令牌，然後該訪問令牌必須由所有後端元件獨立解碼。

如 第四節 中所述，閘道器簡化了客戶端和伺服器之間的互動，並提供了一個小型、定義明確的介面來處理安全性。例如，我們不需要擔心 跨域資源共享（Cross Origin Resource Sharing），這是一種值得慶幸的緩解，因為它很容易出錯。

我們將要構建的完整專案的原始碼位於此處 Github，因此如果您願意，可以直接克隆專案並從那裡開始工作。該系統的最終狀態中有一個額外的元件（"double-admin"），所以現在可以忽略它。

在此架構中，後端與我們在 第三節 中構建的 "spring-session" 示例非常相似，唯一的例外是它實際上不需要登入頁面。這裡最簡單的方法可能是從第三節複製 "resource" 伺服器，並從 第一節 的 "basic" 示例中獲取 UI。要從 "basic" UI 轉換到我們想要的 UI，我們只需新增幾個依賴項（就像我們在第三節首次使用 Spring Session 時一樣）。

由於這現在是一個 UI，因此不需要 "/resource" 端點。完成此操作後，您將擁有一個非常簡單的 Angular 應用程式（與 "basic" 示例中的相同），這將極大地簡化其行為的測試和推理。

最後，我們希望此伺服器作為後端執行，因此我們將為其指定一個非預設埠進行監聽（在 application.properties 中）。

如果這是 application.properties 的全部內容，那麼應用程式將是安全的，並且可供名為 "user"、密碼隨機（但會在啟動時列印在控制檯上，日誌級別為 INFO）的使用者訪問。“security.sessions”設定意味著 Spring Security 將接受 cookie 作為身份驗證令牌，但除非 cookie 已存在，否則不會建立它們。

資源伺服器很容易從我們現有的示例之一生成。它與 第三節 中的 "spring-session" 資源伺服器相同：只需一個 "/resource" 端點和 Spring Session 來獲取分散式會話資料。我們希望此伺服器擁有一個非預設埠進行監聽，並且希望能夠在會話中查詢身份驗證，因此我們需要以下配置（在 application.properties 中）。

我們將透過 POST 請求更改訊息資源，這是本教程中的一個新功能。這意味著我們將在後端需要 CSRF 保護，並且需要進行常規操作，使 Spring Security 與 Angular 良好協作。

完成的示例位於 此處 github，如果您想檢視一下。

對於閘道器的初步實現（最簡單可行的方案），我們可以直接使用一個空的 Spring Boot Web 應用程式並新增 @EnableZuulProxy 註解。正如我們在 第一節 中看到的，有幾種方法可以做到這一點，其中一種是使用 Spring Initializr 生成骨架專案。更容易的是使用 Spring Cloud Initializr，它做的事情相同，但針對的是 Spring Cloud 應用程式。使用與第一節中相同的命令列操作序列

然後您可以將該專案（預設情況下是正常的 Maven Java 專案）匯入您喜歡的 IDE，或者直接使用檔案並在命令列上執行 "mvn"。如果您想從那裡開始，github 上有一個版本，但它包含一些我們暫時不需要的額外功能。

從空白的 Initializr 應用程式開始，我們新增 Spring Session 依賴項（就像上面的 UI 中一樣）。閘道器已準備就緒可以執行，但它還不知道我們的後端服務，所以我們只需在其 application.yml 中進行設定（如果您進行了上面的 curl 操作，則從 application.properties 重新命名）。

代理中有 2 個路由，它們都使用 sensitive-headers 屬性向下傳遞 cookie，UI 和資源伺服器各一個，並且我們設定了預設密碼和會話持久化策略（告訴 Spring Security 在身份驗證時總是建立會話）。最後一點很重要，因為我們希望身份驗證以及隨之而來的會話在閘道器中進行管理。

我們現在有三個元件，執行在 3 個埠上。如果您將瀏覽器指向 https://:8080/ui/，您應該會收到 HTTP Basic 挑戰，並且可以使用 "user/password"（您在閘道器中的憑據）進行身份驗證，一旦完成，您應該會在 UI 中看到 greeting，這是透過代理呼叫後端資源伺服器獲取的。

如果你使用一些開發者工具（通常按 F12 開啟，在 Chrome 中預設可用，在 Firefox 中可能需要外掛），可以在瀏覽器中看到瀏覽器和後端之間的互動。這裡有一個摘要

您可能看不到 401，因為瀏覽器將主頁載入視為一次單獨的互動。所有請求都經過代理（閘道器中目前除了用於管理的 Actuator 端點外，沒有其他內容）。

萬歲，成功了！您現在有兩個後端伺服器，其中一個是 UI，每個都具有獨立的功能，並且能夠獨立進行測試，它們透過您控制並配置了身份驗證的安全閘道器連線在一起。如果後端對瀏覽器不可訪問也沒關係（實際上這可能是一個優勢，因為它讓您對物理安全性有更多的控制）。

就像在 第一節 的 "basic" 示例中一樣，我們現在可以將登入表單新增到閘道器，例如透過複製 第二節 的程式碼。這樣做時，我們還可以在閘道器中新增一些基本的導航元素，這樣使用者就不必知道代理中 UI 後端的路徑了。因此，我們首先將 "single" UI 中的靜態資源複製到閘道器，刪除訊息渲染並在主頁中插入一個登入表單（在 <app/> 中的某個位置）。

我們將使用一個漂亮的巨大導航按鈕取代訊息渲染。

如果您正在檢視 github 中的示例，它還有一個帶有“退出”按鈕的最小導航欄。這是登入表單的截圖。

為了支援登入表單，我們需要一些 TypeScript 程式碼，其中包含一個實現了我們在 <form/> 中宣告的 login() 函式的元件，並且我們需要設定 authenticated 標誌，以便主頁根據使用者是否已驗證身份來呈現不同的內容。例如

其中 login() 函式的實現類似於 第二節 中的實現。

我們可以使用 self 來儲存 authenticated 標誌，因為這個簡單的應用程式中只有一個元件。

如果我們執行這個增強型閘道器，就不必記住 UI 的 URL，只需載入主頁並跟隨連結即可。這是已驗證使用者的首頁。

到目前為止，我們的應用程式功能上與 第三節 或 第四節 中的應用程式非常相似，但增加了一個專用的閘道器層。額外層的好處可能還不明顯，但我們可以透過稍微擴充套件系統來強調它。假設我們想使用該閘道器暴露另一個後端 UI，供使用者“管理”主 UI 中的內容，並且我們希望將此功能的訪問許可權限制給具有特殊角色的使用者。因此，我們將在代理後面新增一個“Admin”應用程式，系統將如下所示。

閘道器的 application.yml 中有一個新元件（Admin）和一個新路由。

上面的框圖中，閘道器框中（綠色字型）標明瞭現有 UI 可供具有“USER”角色的使用者使用，以及訪問 Admin 應用程式需要“ADMIN”角色的事實。“ADMIN”角色的訪問決策可以在閘道器中應用，在這種情況下它將出現在 WebSecurityConfigurerAdapter 中，或者它也可以在 Admin 應用程式本身中應用（我們將在下面看到如何做到這一點）。

因此，首先建立一個新的 Spring Boot 應用程式，或者複製現有 UI 並進行編輯。除了名稱之外，您最初不需要更改 UI 應用程式中的太多內容。完成的應用程式位於 此處 Github。

假設在 Admin 應用程式內部，我們希望區分“READER”和“WRITER”角色，以便允許（比如說）審計員使用者檢視主要管理員使用者所做的更改。這是一個細粒度的訪問決策，其規則僅在後端應用程式中已知且應該只在該處已知。在閘道器中，我們只需確保我們的使用者帳戶具有所需的角色，並且該資訊是可用的，但閘道器無需知道如何解釋它。在閘道器中，我們建立使用者帳戶以保持示例應用程式的自包含性。

其中“admin”使用者已增加了 3 個新角色（“ADMIN”、“READER”和“WRITER”），並且我們還添加了一個“audit”使用者，該使用者擁有“ADMIN”訪問許可權，但沒有“WRITER”許可權。

訪問決策放在 Admin 應用程式中進行。“ADMIN”角色（該後端全域性需要此角色）的訪問決策我們在 Spring Security 中實現。

對於“READER”和“WRITER”角色，應用程式本身是分層的，並且由於應用程式是用 JavaScript 實現的，因此我們需要在那裡做出訪問決策。一種方法是建立一個主頁，透過路由器嵌入一個計算檢視。

路由在元件載入時計算。

應用程式做的第一件事是檢查使用者是否已驗證身份，並透過檢視使用者資料來計算路由。路由在主模組中宣告。

每個元件（每個路由對應一個）都必須單獨實現。這裡以 ReadComponent 為例。

WriteComponent 與之類似，但有一個用於更改後端訊息的表單。

AppService 還需要提供計算路由所需的資料，因此在 authenticate() 函式中我們看到

為了在後端支援此函式，我們需要 /user 端點，例如在我們主要的應用程式類中。

我們還將在閘道器中使用這些角色進行訪問決策（這樣我們就可以根據條件顯示指向 admin UI 的連結），因此我們也應該將“roles”新增到閘道器的 "/user" 端點中。完成後，我們可以新增一些 JavaScript 程式碼來設定一個標誌，指示當前使用者是“ADMIN”。在 authenticated() 函式中

並且在使用者退出時，我們還需要將 admin 標誌重置為 false。

然後在 HTML 中，我們可以根據條件顯示一個新連結。

執行所有應用程式並訪問 https://:8080 檢視結果。一切都應該正常工作，UI 應該根據當前已驗證的使用者而改變。

現在我們擁有一個不錯的小系統，其中包含 2 個獨立的使用者介面和一個後端資源伺服器，所有這些都透過閘道器中的同一身份驗證進行保護。閘道器充當微代理的事實使得後端安全問題的實現變得極其簡單，並且它們可以自由地專注於自己的業務問題。使用 Spring Session（再次）避免了大量的麻煩和潛在的錯誤。

一個強大的特性是後端可以獨立擁有它們喜歡的任何型別的身份驗證（例如，如果您知道其物理地址和一組本地憑據，可以直接訪問 UI）。閘道器施加了一組完全不相關的約束，只要它能夠驗證使用者身份併為其分配滿足後端訪問規則的元資料。這是一種出色的設計，能夠獨立開發和測試後端元件。如果我們願意，我們可以回退到外部 OAuth2 伺服器（就像 第五節 中那樣，甚至完全不同的東西）來進行閘道器處的身份驗證，而無需觸及後端。

這種架構（單個閘道器控制身份驗證，以及所有元件之間共享會話令牌）的一個額外特性是“單點退出”，我們在 第五節 中認為難以實現的功能，在這裡免費獲得。更準確地說，完成的系統中自動提供了一種特定的單點退出使用者體驗方法：如果使用者從任何一個 UI（閘道器、UI 後端或 Admin 後端）退出，他將從所有其他 UI 中退出，前提是每個獨立的 UI 都以相同的方式實現了“退出”功能（使會話失效）。

“basic”應用程式中的“app”元件非常簡單，因此對其進行全面測試不會花費太多時間。以下是程式碼回顧。

我們面臨的主要挑戰是在測試中提供 http 物件，這樣我們就可以對它在元件中的使用方式進行斷言。實際上，在我們面臨這個挑戰之前，我們需要能夠建立一個元件例項，這樣我們就可以測試它載入時發生的事情。下面是實現方法。

使用 ng new 建立的應用程式中的 Angular 構建已經包含一個 spec 和一些用於執行它的配置。生成的 spec 位於 "src/app" 中，它以以下方式開始。

在這個非常基礎的測試套件中，我們有以下重要元素

這裡的測試函式非常簡單，它實際上只斷言元件存在，因此如果失敗，測試就會失敗。

為了將 spec 提升到生產級別，我們需要實際斷言控制器載入時會發生什麼。由於它會呼叫 http.get()，我們需要模擬該呼叫，以避免僅為單元測試而執行整個應用程式。為此，我們使用 Angular 的 HttpClientTestingModule。

這裡的新部分是

要執行我們的測試程式碼，我們可以使用專案設定時建立的便捷指令碼執行 ./ng test（或 ./ng build）。它也會作為 Maven 生命週期的一部分執行，因此 ./mvnw install 也是執行測試的好方法，這正是您的 CI 構建中將要發生的事情。

Angular 也有一個標準的構建設定，用於使用瀏覽器和生成的 JavaScript 進行“端到端測試”。這些測試以“specs”的形式寫在頂層的 e2e 目錄中。本教程中的所有示例都包含一個非常簡單的端到端測試，該測試在 Maven 生命週期中執行（因此，如果您在任何“ui”應用中執行 mvn install，將看到一個瀏覽器視窗彈出）。

能夠在現代 Web 應用中執行 Javascript 單元測試非常重要，這是本系列到目前為止我們忽略（或迴避）的話題。在本期中，我們介紹瞭如何編寫測試、如何在開發時執行測試以及更重要的是如何在持續整合環境中執行測試的基本要素。我們採用的方法並非適合所有人，所以如果您選擇不同的方式，請不要覺得不好，但請確保您具備所有那些要素。我們在這裡的做法可能會讓傳統的 Java 企業開發者感到舒適，並且與他們現有的工具和流程很好地整合，所以如果您屬於那一類別，我希望您會發現它是一個有用的起點。關於使用 Angular 和 Jasmine 進行測試的更多示例可以在網際網路上找到很多，但首選可能是本系列中的“single”示例，該示例現在包含一些最新的測試程式碼，這些程式碼比本教程中“basic”示例所需的程式碼要稍微複雜一些。

本教程中 oauth2 示例的登出使用者體驗是，您從 UI 應用中登出，但不會從授權伺服器中登出，因此當您再次登入 UI 應用時，授權伺服器不會再次要求提供憑據。當授權伺服器是外部的時，這是完全預期、正常和理想的——Google 和其他外部授權伺服器提供商既不希望也不允許您從不受信任的應用中從其伺服器登出——但如果授權伺服器實際上與 UI 屬於同一系統，則這不是最佳使用者體驗。

廣義上講，從作為 OAuth2 客戶端進行身份驗證的 UI 應用中登出有三種模式

有時，即使您有外部授權伺服器，您也希望控制身份驗證並新增內部訪問控制層（例如，授權伺服器不支援的作用域或角色）。那麼最好使用 EA 進行身份驗證，但有一個內部授權伺服器可以為令牌新增您需要的附加詳細資訊。這個OAuth2 教程中的 auth-server 示例非常簡單地展示瞭如何做到這一點。然後，您可以將 GIA 或 SL 模式應用於包含內部授權伺服器的系統。

如果您不想使用 EA，這裡有一些選項

請注意，在 SL 難以實現或不可能實現的情況下，最好還是將所有 UI 放在單個閘道器後面。然後您可以使用 GIA，這更容易，來控制整個系統的登出。

在 GIA 模式中很好應用的兩個最簡單的選項可以在本教程示例中實現如下（以 oauth2 示例為基礎進行修改）。

在 UI 應用登出後立即從授權伺服器登出，這在瀏覽器客戶端中只需新增幾行程式碼即可實現。例如：

在這個示例中，我們將授權伺服器的登出端點 URL 硬編碼到 JavaScript 中，但如果需要，很容易將其外部化。它必須直接向授權伺服器傳送 POST 請求，因為我們也希望會話 cookie 隨同傳送。XHR 請求只有在我們明確要求 withCredentials:true 時才會附帶 cookie 從瀏覽器發出。

相反，在伺服器端我們需要一些 CORS 配置，因為請求來自不同的域。例如，在 WebSecurityConfigurerAdapter 中：

“/logout”端點得到了特殊處理。它允許從任何來源呼叫，並明確允許傳送憑據（例如 cookie）。允許的頭部資訊只是 Angular 在示例應用中傳送的那些。

除了 CORS 配置外，我們還需要停用登出端點的 CSRF 保護，因為 Angular 在跨域請求中不會發送 X-XSRF-TOKEN 頭部。之前授權伺服器不需要任何 CSRF 配置，但很容易為登出端點新增忽略：

透過這兩個簡單的更改，一個在 UI 應用客戶端，一個在授權伺服器，您會發現一旦您從 UI 應用登出，再次登入時，總是會提示輸入密碼。

另一個有用的更改是將 OAuth2 客戶端設定為自動批准，這樣使用者就不必批准令牌授權。這在內部授權伺服器中很常見，使用者不會將其視為獨立的系統。在 AuthorizationServerConfigurerAdapter 中，您只需在客戶端初始化時設定一個標誌：

如果您不想放棄登出端點的 CSRF 保護，可以嘗試另一種簡單的方法，即在令牌授權後立即（實際上是在生成授權碼後立即）使授權伺服器中的使用者會話失效。這也非常容易實現：從 oauth2 示例開始，只需為 OAuth2 端點新增一個 HandlerInterceptor。

這個攔截器查詢一個 RedirectView，這是一個訊號，表明使用者正在被重定向回客戶端應用，並檢查 URL 中是否包含授權碼或錯誤。如果您也使用隱式授權，可以新增“token=”。

透過這個簡單的更改，一旦您完成身份驗證，授權伺服器中的會話就已經失效了，因此無需從客戶端嘗試管理它。當您從 UI 應用登出，然後再次登入時，授權伺服器不會認出您，並提示輸入憑據。本教程的原始碼中的 oauth2-logout 示例實現了這種模式。這種方法的缺點是您不再擁有真正的單點登入——系統中屬於您的其他應用會發現授權伺服器會話已失效，它們必須再次提示進行身份驗證——如果存在多個應用，這不是一個很好的使用者體驗。

在本節中，我們瞭解瞭如何實現從 OAuth2 客戶端應用登出的幾種不同模式（以教程第五節中的應用作為起點），並討論了其他一些模式的選項。這些選項並非詳盡無遺，但應該能讓您很好地瞭解其中涉及的權衡取捨，並提供一些工具來思考適合您的用例的最佳解決方案。本節中只有幾行 JavaScript 程式碼，而且這些程式碼並非特定於 Angular（它只是為 XHR 請求添加了一個標誌），因此所有這些經驗和模式都適用於本指南示例應用之外的更廣泛範圍。一個反覆出現的主題是，在存在多個 UI 應用和單個授權伺服器的情況下，所有單點登出（SL）方法都傾向於在某些方面存在缺陷：您能做的最好是選擇讓使用者最不感到不適的方法。如果您有一個內部授權伺服器和一個由許多元件組成的系統，那麼對於使用者來說，唯一感覺像是一個單一系統的架構可能是所有使用者互動都透過一個閘道器。

想編寫新指南或為現有指南做出貢獻？請檢視我們的貢獻指南。