Spring OAuth2 Resource Server Filter

Question

私たちはすべてのAPIにセキュリティフィルタを適用するために@EnableResourceServer注釈を使用しています。 OAuth2とJWTのトークンを使用しています。

特定のエンドポイント(**/clientTokenAllowed/myapi)をクライアントJWTトークンを使用して保護したいが、他のすべてのユーザーはユーザーJWTが必要であるが、クライアント資格トークン（クライアントIDとクライアントシークレットを使用して取得）トークン。

この妥当性チェックをどこにフィルターに入れる必要がありますか？これを行う正しい例が見つかりませんでした。

Answer 1

Spring Security OAuthでは、#oauth2.hasScope(),#oauth2.isUser()、#oauth2.isClient()などの式をResourceServer HTTPSecurity構成に使用できます。これらの表現にもっとよく似たものがありますhere

あなたの場合は、#oauth2.isUser()と#oauth2.isClient()を使用します。