Spring Security 與 Angular

HTML5、豐富的瀏覽器功能和「單頁應用程式」是現代開發人員非常有價值的工具，但任何有意義的互動都將涉及後端伺服器，因此除了靜態內容（HTML、CSS 和 JavaScript）之外，我們還需要一個後端伺服器。 後端伺服器可以扮演多種角色中的任何一種或全部：提供靜態內容、有時（但現在不那麼頻繁）呈現動態 HTML、驗證使用者、保護對受保護資源的訪問，以及（最後但並非最不重要的）通過 HTTP 和 JSON（有時稱為 REST API）與瀏覽器中的 JavaScript 互動。

Spring 一直是構建後端功能（尤其是在企業中）的流行技術，並且隨著 Spring Boot 的出現，事情變得前所未有的容易。 讓我們來看看如何使用 Spring Boot、Angular 和 Twitter Bootstrap 從無到有構建一個新的單頁應用程式。 沒有特別的理由選擇該特定堆疊，但它非常流行，尤其是在企業 Java 商店中的核心 Spring 社群中，因此這是一個值得開始的起點。

我們將逐步詳細創建此應用程式，以便任何不完全熟悉 Spring 和 Angular 的人都可以理解正在發生的事情。 如果您喜歡直接切入主題，您可以跳到最後，查看應用程式如何運作，以及它們如何組合在一起。 創建新專案有多種選擇

我們將要構建的完整專案的原始碼位於 Github 此處，因此您可以直接複製專案並直接從那裡開始工作。 然後跳到下一節。

如今，Angular（或任何現代前端框架）中的單頁應用程式的核心將是 Node.js 建構。 Angular 提供了一些快速設定它的工具，所以讓我們使用它們，並保留使用 Maven 建構的選項，就像任何其他 Spring Boot 應用程式一樣。 如何設定 Angular 應用程式的詳細資訊在其他地方介紹，或者您可以從 github 檢出本教學課程的程式碼。

讓我們自訂「app-root」元件（在「src/app/app.component.ts」中）。

一個最小的 Angular 應用程式如下所示

此 TypeScript 中的大多數程式碼都是樣板程式碼。 有趣的東西都將在 AppComponent 中，我們在這裡定義「selector」（HTML 元素的名稱）和 HTML 片段，以通過 @Component 註釋進行呈現。 我們還需要編輯 HTML 模板（「app.component.html」）

如果您在「src/app」下添加了這些檔案並重建了您的應用程式，它現在應該是安全且功能正常的，並且會顯示「Hello World!」。 greeting 由 Angular 在 HTML 中使用 handlebar 佔位符 {{greeting.id}} 和 {{greeting.content}} 呈現。

到目前為止，我們有一個帶有硬編碼問候語的應用程式。 這對於了解事物如何組合在一起很有用，但實際上我們希望內容來自後端伺服器，所以讓我們創建一個 HTTP 端點，我們可以通過它來抓取問候語。 在您的 應用程式類別（在「src/main/java/demo」中）中，新增 @RestController 註釋並定義一個新的 @RequestMapping

執行該應用程式並嘗試 curl 「/resource」 端點，您會發現它預設是安全的

如果您使用一些開發人員工具，可以在瀏覽器中看到瀏覽器和後端之間的互動（通常 F12 會打開此工具，預設在 Chrome 中有效，可能需要在 Firefox 中安裝插件）。 這是一個摘要

您可能看不到 401，因為瀏覽器將首頁載入視為單個互動，並且您可能會看到 2 個對 「/resource」 的請求，因為存在 CORS 協商。

更仔細地查看這些請求，您會看到它們都帶有「Authorization」標頭，如下所示

瀏覽器正在通過每個請求發送使用者名稱和密碼（因此請記住在生產環境中專門使用 HTTPS）。 這與「Angular」無關，因此它可以與您選擇的 JavaScript 框架或非框架一起使用。

Angular 應用程式的核心是基本頁面佈局的 HTML 範本。我們已經有一個非常基本的範本，但對於此應用程式，我們需要提供一些導覽功能（登入、登出、首頁），因此讓我們修改它（在 src/app 中）

主要內容是 <router-outlet/>，並且有一個包含登入和登出連結的導覽列。

<router-outlet/> 選擇器由 Angular 提供，並且需要連接到主模組中的一個元件。每個路由（每個選單連結）都會有一個元件，以及一個輔助服務來將它們組合在一起並共享一些狀態 (AppService)。以下是模組的實作，它將所有部分組合在一起

我們新增了對名為 "RouterModule" 的 Angular 模組的依賴，這使我們能夠將一個神奇的 router 注入到 AppComponent 的建構函式中。routes 在 AppModule 的匯入中使用，以設定到 "/"（"首頁" 控制器）和 "/login"（"登入" 控制器）的連結。

我們也偷偷地將 FormsModule 放入其中，因為稍後需要它來將資料繫結到一個我們希望在使用者登入時提交的表單。

UI 元件都是 "宣告"，而服務膠水是 "提供者"。AppComponent 實際上沒有做太多事情。與應用程式根目錄一起使用的 TypeScript 元件在此處

重要功能

我們在上面注入的 app 服務需要一個布林標誌，以便我們可以判斷使用者目前是否已通過身份驗證，以及一個可用於使用後端伺服器進行身份驗證的函數 authenticate()，或者僅僅是為了查詢使用者詳細資訊

authenticated 標誌很簡單。如果提供了 HTTP Basic 身份驗證憑證，authenticate() 函數會發送它們，否則不會。它也有一個可選的 callback 參數，如果身份驗證成功，我們可以使用它來執行一些程式碼。

為了支援我們剛才新增的登入表單，我們需要新增一些功能。在客戶端，這些功能將在 LoginComponent 中實作，而在伺服器端，它將是 Spring Security 配置。

如果您在此時執行該應用程式，您會發現瀏覽器會彈出一個 Basic 身份驗證對話框（用於使用者和密碼）。它會這樣做，因為它看到來自對 /user 和 /resource 的 XHR 請求的 401 響應，並帶有一個 "WWW-Authenticate" 標頭。抑制此彈出視窗的方法是抑制標頭，該標頭來自 Spring Security。而抑制響應標頭的方法是發送一個特殊的、傳統的請求標頭 "X-Requested-With=XMLHttpRequest"。它曾經是 Angular 中的預設值，但他們在 1.3.0 中移除了它。因此，以下是如何在 Angular XHR 請求中設定預設標頭。

首先擴展 Angular HTTP 模組提供的預設 RequestOptions

此處的語法是樣板程式碼。Class 的 implements 屬性是其基底類別，除了建構函式之外，我們真正需要做的就是覆寫 Angular 始終呼叫的 intercept() 函數，該函數可用於新增其他標頭。

要安裝這個新的 RequestOptions 工廠，我們需要在 AppModule 的 providers 中宣告它

應用程式在功能上幾乎完成了。我們需要做的最後一件事是實作我們在首頁中概述的登出功能。如果使用者已通過身份驗證，那麼我們將顯示一個 "登出" 連結並將其掛鉤到 AppComponent 中的 logout() 函數。請記住，它會向 "/logout" 發送一個 HTTP POST 請求，我們現在需要在伺服器上實作它。這很簡單，因為 Spring Security 已經為我們新增了它（也就是說，對於這種簡單的用例，我們不需要做任何事情）。為了更好地控制登出的行為，您可以使用 WebSecurityAdapter 中的 HttpSecurity 回呼，例如在登出後執行一些業務邏輯。

應用程式幾乎可以使用了，實際上，如果您執行它，您會發現到目前為止我們構建的所有內容都可以正常工作，除了登出連結。嘗試使用它並查看瀏覽器中的響應，您就會明白為什麼

這很好，因為這意味著 Spring Security 的內建 CSRF 保護已經啟動，以防止我們搬起石頭砸自己的腳。它所需要的只是在一個名為 "X-CSRF" 的標頭中發送給它的權杖。CSRF 權杖的值在伺服器端可以從載入首頁的初始請求的 HttpRequest 屬性中獲得。為了讓客戶端獲得它，我們可以使用伺服器上的動態 HTML 頁面來呈現它，或者通過自訂端點公開它，或者我們可以將其作為 Cookie 發送。最後一個選擇是最好的，因為 Angular 具有 基於 Cookie 的 CSRF 內建支援（它稱之為 "XSRF"）。

因此，在伺服器上，我們需要一個自訂篩選器來發送 Cookie。Angular 希望 Cookie 名稱為 "XSRF-TOKEN"，而 Spring Security 預設將其作為請求屬性提供，因此我們只需要將該值從請求屬性傳輸到 Cookie。幸運的是，Spring Security（自 4.1.0 起）提供了一個特殊的 CsrfTokenRepository，它正是做這件事

完成這些更改後，我們不需要在客戶端做任何事情，並且登入表單現在可以正常工作。

如果您使用一些開發人員工具，可以在瀏覽器中看到瀏覽器和後端之間的互動（通常 F12 會打開此工具，預設在 Chrome 中有效，可能需要在 Firefox 中安裝插件）。 這是一個摘要

以上標記為「已忽略」的回應是 Angular 在 XHR 呼叫中收到的 HTML 回應，由於我們沒有處理這些資料，因此 HTML 會被丟棄。在 "/user" 資源的情況下，我們確實會尋找已驗證的使用者，但由於第一次呼叫中沒有，所以該回應也會被丟棄。

仔細觀察這些請求，你會發現它們都帶有 cookies。如果你從一個乾淨的瀏覽器開始（例如 Chrome 的無痕模式），第一個請求不會向伺服器發送任何 cookies，但伺服器會回傳 "Set-Cookie" 給 "JSESSIONID" (一般的 HttpSession) 和 "X-XSRF-TOKEN" (我們上面設定的 CRSF cookie)。後續的請求都會帶有這些 cookies，而且它們非常重要：應用程式沒有它們就無法運作，而且它們提供了一些非常基本的安全功能（驗證和 CSRF 保護）。當使用者通過驗證後（在 POST 之後），cookies 的值會改變，這是另一個重要的安全功能（防止session fixation attacks（會話固定攻擊））。

你可能會說：「等等…在單頁應用程式中使用 session state 難道不是非常糟糕嗎？」這個問題的答案必須是「大部分情況下是」，因為使用 session 進行身份驗證和 CSRF 保護絕對是一件好事。該狀態必須儲存在某個地方，如果你將其從 session 中取出，則必須將其放在其他地方，並在伺服器和客戶端上手動管理它。這只會增加更多的程式碼和可能的維護，而且通常是重新發明一個完美的輪子。

你可能會回應說：「但是，但是…我現在該如何水平擴展我的應用程式？」這才是你上面提出的「真正」問題，但它往往被簡化為「session state 不好，我必須是無狀態的」。別慌。這裡要記住的重點是安全是有狀態的。你不能擁有一個安全的、無狀態的應用程式。所以你打算把狀態儲存在哪裡？這就是全部了。 Rob Winch 在 Spring Exchange 2014 上發表了一個非常有用的、富有洞察力的演講，解釋了狀態的必要性（以及它的普遍性 - TCP 和 SSL 都是有狀態的，所以你的系統是有狀態的，無論你是否知道），如果你想更深入地研究這個主題，它可能值得一看。

好消息是你還有選擇。最簡單的選擇是將 session 資料儲存在記憶體中，並依靠負載平衡器中的 sticky sessions（黏性會話）將來自同一 session 的請求路由回相同的 JVM（它們都以某種方式支援這一點）。這足以讓你起步，並且適用於非常大量的用例。另一個選擇是在應用程式的實例之間共享 session 資料。只要你嚴格且只儲存安全資料，它就很小並且很少更改（僅當使用者登入和登出或他們的 session 超時時），因此不應該有任何主要的基礎架構問題。使用 Spring Session 也很容易做到。我們將在本系列的下一節中使用 Spring Session，所以這裡不需要詳細介紹如何設定它，但它實際上只是幾行程式碼和一個 Redis 伺服器，它非常快。

如果那是你對上一節的回應，那就再讀一遍，因為你可能第一次沒有理解。如果你將 token 儲存在某個地方，它可能不是無狀態的，但即使你沒有（例如，你使用 JWT 編碼的 token），你將如何提供 CSRF 保護？這很重要。這裡有一個經驗法則（歸功於 Rob Winch）：如果你的應用程式或 API 將被瀏覽器訪問，你需要 CSRF 保護。並不是說沒有 sessions 你就不能做到，而是你必須自己編寫所有這些程式碼，而這樣做的意義是什麼呢，因為它已經在 HttpSession 之上實現並完美地運作了（而 HttpSession 本身就是你正在使用的容器的一部分，並且從一開始就被烘焙到規範中）？即使你決定不需要 CSRF，並且擁有一個完美的「無狀態」（非基於 session）的 token 實作，你仍然必須在客戶端編寫額外的程式碼來消耗和使用它，而你可以簡單地委託給瀏覽器和伺服器自己的內建功能：瀏覽器總是發送 cookies，而伺服器總是擁有一個 session（除非你關閉它）。該程式碼不是業務邏輯，它不會為你賺錢，它只是一個開銷，更糟糕的是，它會花你的錢。

我們現在的應用程式接近使用者在實際環境中的「真實」應用程式中的期望，並且它可以用作構建具有該架構（具有靜態內容和 JSON 資源的單一伺服器）的更豐富功能的應用程式的範本。我們正在使用 HttpSession 儲存安全資料，依靠我們的客戶端尊重和使用我們發送給他們的 cookies，我們對此感到滿意，因為它可以讓我們專注於我們自己的業務領域。在下一節中，我們將架構擴展到一個單獨的身份驗證和 UI 伺服器，以及一個用於 JSON 的獨立資源伺服器。這顯然很容易推廣到多個資源伺服器。我們還將把 Spring Session 引入到堆疊中，並展示如何使用它來共享身份驗證資料。

瀏覽器嘗試與我們的資源伺服器協商，以了解是否允許它根據 跨域資源共享協議訪問它。這不是 Angular 的責任，所以就像 cookie 協定一樣，它會在瀏覽器中與所有 JavaScript 一起工作。這兩個伺服器沒有聲明它們具有共同的 origin，因此瀏覽器拒絕發送請求，並且 UI 被破壞。

為了修復它，我們需要支援 CORS 協議，該協議涉及一個「預檢」OPTIONS 請求和一些 headers 來列出呼叫者的允許行為。 Spring 4.2 有一些不錯的 細粒度 CORS 支援，因此我們可以簡單地將註釋新增到我們的控制器映射，例如

太棒了！我們有一個具有新架構的可運作的應用程式。唯一的問題是資源伺服器沒有安全性。

網際網路，以及人們的 Spring 後端專案，充斥著客製化的基於權杖的身份驗證解決方案。Spring Security 提供了一個最基本的 Filter 實作，讓您可以開始建立自己的解決方案（例如，請參閱 AbstractPreAuthenticatedProcessingFilter 和 TokenService）。然而，Spring Security 中沒有規範的實作，其中一個原因可能是因為有更簡單的方法。

回想一下本系列的第二部分，Spring Security 預設使用 HttpSession 來儲存身份驗證資料。但它不會直接與 session 互動：在中間有一個抽象層 (SecurityContextRepository)，您可以使用它來更改儲存後端。如果我們可以在資源伺服器中，將該 repository 指向一個由 UI 驗證過的身份驗證儲存，那麼我們就有一種方法可以在兩個伺服器之間共享身份驗證。UI 伺服器已經有這樣一個儲存（HttpSession），所以如果我們可以分配該儲存並將其開放給資源伺服器，我們就已經有了大部分的解決方案。

唯一缺少的部分是資料儲存中金鑰的傳輸機制。金鑰是 HttpSession ID，因此如果我們可以在 UI 客戶端中取得該金鑰，我們可以將其作為自訂標頭發送到資源伺服器。因此，「首頁」控制器需要更改，以便它將標頭作為對 greeting 資源的 HTTP 請求的一部分發送。例如

（一個更優雅的解決方案可能是根據需要抓取權杖，並使用我們的 RequestOptionsService 將標頭添加到對資源伺服器的每個請求中。）

我們沒有直接前往「https://127.0.0.1:9000」，而是將該呼叫包裝在對 UI 伺服器上 "/token" 的新自訂端點的呼叫的成功回呼中。該實作很簡單

因此，UI 應用程式已準備就緒，並且將在所有對後端的呼叫中，包含一個名為 "X-Auth-Token" 的標頭。

資源伺服器只需要進行一個小的更改，才能夠接受自訂標頭。CORS 設定必須指定該標頭為允許來自遠端客戶端的標頭，例如

來自瀏覽器的 pre-flight 檢查現在將由 Spring MVC 處理，但我們需要告訴 Spring Security 允許它通過

剩下的就是拾取資源伺服器中的自訂權杖，並使用它來驗證我們的用戶。事實證明，這非常簡單，因為我們需要做的就是告訴 Spring Security session repository 在哪裡，以及從哪裡在傳入請求中尋找權杖（session ID）。首先，我們需要添加 Spring Session 和 Redis 依賴項，然後我們可以設定 Filter

建立的此 Filter 是 UI 伺服器中 Filter 的鏡像，因此它將 Redis 建立為 session 儲存。唯一的區別是它使用自訂的 HttpSessionStrategy，該策略在標頭（預設情況下為 "X-Auth-Token"）中查找，而不是預設的（名為 "JSESSIONID" 的 cookie）。我們還需要防止瀏覽器在未經驗證的客戶端中彈出對話框 - 應用程式是安全的，但預設情況下會發送帶有 WWW-Authenticate: Basic 的 401，因此瀏覽器會彈出一個用於輸入使用者名稱和密碼的對話框。有多種方法可以實現這一點，但我們已經讓 Angular 發送了 "X-Requested-With" 標頭，因此 Spring Security 預設會為我們處理它。

資源伺服器需要進行最後一個更改才能使用我們的新身份驗證方案。Spring Boot 預設安全性是無狀態的，我們希望將身份驗證儲存在 session 中，因此我們需要在 application.yml（或 application.properties）中明確指定。

這告訴 Spring Security「永遠不要建立 session，但如果存在則使用 session」（由於 UI 中的身份驗證，它已經存在）。

重新啟動資源伺服器並在新的瀏覽器視窗中開啟 UI。

我們必須使用自訂標頭並在客戶端中編寫程式碼來填充標頭，這並不是很複雜，但似乎與第二部分中關於盡可能使用 cookie 和 session 的建議相矛盾。那裡的論點是不這樣做會引入額外的非必要複雜性，並且可以肯定的是，我們現在擁有的實作是我們迄今為止看到的最複雜的：解決方案的技術部分遠遠超過業務邏輯（這無可否認是很小的）。這絕對是一個公平的批評（我們計劃在本系列的下一節中解決），但讓我們簡要地看一下為什麼僅使用 cookie 和 session 來處理所有事情並不像想像的那麼簡單。

至少我們仍然在使用 session，這是合理的，因為 Spring Security 和 Servlet 容器知道如何在無需我們任何努力的情況下執行此操作。但是，我們是否無法繼續使用 cookie 來傳輸身份驗證權杖？這本來是不錯的，但有一個原因它不起作用，那就是瀏覽器不會讓我們這樣做。您可以直接從 JavaScript 客戶端在瀏覽器的 cookie 儲存中四處尋找，但是有一些限制，並且是有充分理由的。特別是，您無法存取伺服器作為 "HttpOnly" 發送的 cookie（您會發現預設情況下 session cookie 就是這種情況）。您也無法在傳出的請求中設定 cookie，因此我們無法設定 "SESSION" cookie（這是 Spring Session 預設 cookie 名稱），我們必須使用自訂的 "X-Session" 標頭。這兩個限制都是為了保護您自己，因此惡意腳本無法在未經適當授權的情況下存取您的資源。

簡而言之，UI 和資源伺服器沒有共同的來源，因此它們無法共享 cookie（即使我們可以使用 Spring Session 強制它們共享 session）。

我們在本系列的第二部分中複製了應用程式的功能：一個帶有從遠端後端獲取的 greeting 的首頁，以及導覽列中的登入和登出連結。不同之處在於，greeting 來自一個獨立的資源伺服器，而不是嵌入在 UI 伺服器中。這為實作增加了相當大的複雜性，但好消息是我們有一個主要基於配置（並且實際上是 100% 宣告式）的解決方案。我們甚至可以透過將所有新程式碼提取到函式庫（Spring 配置和 Angular 自訂指令）中，使解決方案達到 100% 宣告式。我們將把這個有趣的任務推遲到接下來的幾個部分之後。在下一節中，我們將介紹另一種非常好的方法，可以減少目前實作中的所有複雜性：API Gateway 模式（客戶端將所有請求發送到一個地方，並且在那裡處理身份驗證）。

API Gateway 是前端客戶端的單一入口點（和控制點），前端客戶端可以是基於瀏覽器的（如本節中的範例）或行動裝置。客戶端只需要知道一個伺服器的 URL，並且可以隨意重構後端而無需更改，這是一個顯著的優勢。在集中化和控制方面還有其他優勢：速率限制、身份驗證、稽核和記錄。並且使用 Spring Cloud 實現簡單的反向代理非常簡單。

如果您一直在關注程式碼，您就會知道在上一節末尾的應用程式實作有點複雜，因此這不是一個很好的迭代起點。但是，有一個中間點我們可以更輕鬆地開始，其中後端資源尚未受到 Spring Security 的保護。此程式碼的原始碼是一個單獨的專案 在 Github 上，因此我們將從那裡開始。它有一個 UI 伺服器和一個資源伺服器，它們正在相互通信。資源伺服器還沒有 Spring Security，因此我們可以先讓系統正常工作，然後再添加該層。

您可能還記得，在我們開始的中間狀態中，資源伺服器沒有任何安全保護。

假設我們決定確實需要在軟體層級上進行安全保護 (這很可能由於許多原因)。這不會是一個問題，因為我們只需要將 Spring Security 新增為依賴項 (在 資源伺服器 POM 中)

這足以讓我們獲得一個安全的資源伺服器，但它還無法讓我們的應用程式正常運作，原因與第三部分相同：兩個伺服器之間沒有共享的身份驗證狀態。

我們可以使用相同的機制來共享身份驗證 (和 CSRF) 狀態，就像我們在上一節中所做的那樣，即 Spring Session。我們像之前一樣將依賴項添加到兩個伺服器

但這次配置要簡單得多，因為我們可以將相同的 Filter 宣告添加到兩個伺服器。首先是 UI 伺服器，明確宣告我們希望轉發所有標頭 (即，沒有任何標頭是 "敏感的")

然後我們可以轉到資源伺服器。需要進行兩個小變更：一個是明確禁用資源伺服器中的 HTTP Basic (以防止瀏覽器彈出身份驗證對話框)

另一個是明確要求在 application.properties 中使用非無狀態的會話建立策略

只要 redis 仍在後台執行 (如果您想啟動它，可以使用 docker-compose.yml)，系統就可以正常運作。在 https://127.0.0.1:8080 載入 UI 的首頁，登入後您將看到從後端呈現的訊息。

現在幕後發生了什麼？首先，我們可以查看 UI 伺服器 (和 API 閘道) 中的 HTTP 請求

這與第二部分結尾處的序列相同，除了 cookie 名稱略有不同 ("SESSION" 而不是 "JSESSIONID")，因為我們正在使用 Spring Session。但架構是不同的，最後一個到 "/resource" 的請求很特別，因為它被代理到資源伺服器。

我們可以透過查看 UI 伺服器中的 "/trace" 端點 (來自 Spring Boot Actuator，我們使用 Spring Cloud 依賴項新增了它) 來查看反向代理的作用。在新瀏覽器中前往 https://127.0.0.1:8080/trace (如果您還沒有，請為您的瀏覽器取得一個 JSON 插件，使其更易於閱讀)。您需要使用 HTTP Basic (瀏覽器彈出視窗) 進行身份驗證，但與您的登入表單相同的憑證有效。在開始時或附近，您應該會看到一對類似這樣的請求

那裡的第二個條目是從客戶端到閘道上 "/resource" 的請求，您可以看到 cookie (由瀏覽器新增) 和 CSRF 標頭 (由 Angular 新增，如第二部分中所述)。第一個條目有 remote: true，這意味著它正在追蹤對資源伺服器的呼叫。您可以看到它已發送到 URI 路徑 "/"，並且您可以看到 (至關重要的是) cookie 和 CSRF 標頭也已發送。如果沒有 Spring Session，這些標頭對資源伺服器來說毫無意義，但我們設定它的方式是，它現在可以使用這些標頭重新建構具有身份驗證和 CSRF 權杖資料的會話。因此，該請求被允許，我們正在運營中！

我們在本節中介紹了很多內容，但我們已經到了一個非常好的地方，我們的兩個伺服器中都有最少的樣板程式碼，它們都很安全，並且使用者體驗沒有受到影響。僅憑這一點就是使用 API 閘道模式的一個理由，但實際上我們只觸及了它可以使用的表面 (Netflix 將它用於 許多事情)。閱讀 Spring Cloud 以了解有關如何輕鬆地向閘道新增更多功能的更多資訊。本系列中的下一節將透過將身份驗證職責提取到單獨的伺服器 (單一登入模式) 來稍微擴展應用程式架構。

我們的第一步是建立一個新的伺服器來處理身份驗證和權杖管理。按照第一部分中的步驟，我們可以從 Spring Boot Initializr 開始。例如，在 UN*X 類型的系統上使用 curl

然後你可以將該專案（預設情況下，它是一個普通的 Maven Java 專案）導入到你最喜歡的 IDE 中，或者只是在命令列中使用檔案和 "mvn"。

如果我們從第四部分繼續，我們的資源伺服器使用 Spring Session 進行身份驗證，因此我們可以將其移除並替換為 Spring OAuth。 我們還需要移除 Spring Session 和 Redis 依賴項，因此請替換此項

替換為此項

然後從 main 應用程式類別中移除 session Filter，並將其替換為方便的 @EnableResourceServer 註釋 (來自 Spring Security OAuth2)

進行此變更後，該應用程式已準備好挑戰訪問權杖而不是 HTTP Basic，但我們需要進行配置變更才能實際完成該過程。 我們將添加少量外部配置（在 "application.properties" 中），以允許資源伺服器解碼收到的權杖並驗證使用者身份

這告訴伺服器，它可以使用權杖訪問 "/user" 端點，並使用該端點來取得驗證資訊（這有點像 Facebook API 中的 "/me" 端點）。 實際上，它提供了一種讓資源伺服器解碼權杖的方式，如 Spring OAuth2 中的 ResourceServerTokenServices 介面所表達的那樣。

執行應用程式並使用命令列用戶端點擊首頁

您將看到 401 錯誤，並帶有一個 "WWW-Authenticate" 標頭，指示它需要一個 bearer 權杖。

在授權伺服器上，我們可以輕鬆地添加該端點

我們添加了一個與第二部分中的 UI 伺服器相同的 @RequestMapping，以及來自 Spring OAuth 的 @EnableResourceServer 註釋，預設情況下，它會保護授權伺服器中的所有內容，除了 "/oauth/*" 端點。

有了該端點，我們可以測試它和 greeting 資源，因為它們現在都接受由授權伺服器建立的 bearer 權杖

(替換您從您自己的授權伺服器獲得的訪問權杖的值，以便使其能夠正常運作)。

我們需要完成的這個應用程式的最後一部分是 UI 伺服器，提取驗證部分並委派給授權伺服器。 因此，與資源伺服器一樣，我們首先需要移除 Spring Session 和 Redis 依賴項，並將它們替換為 Spring OAuth2。 由於我們在 UI 層中使用 Zuul，因此我們實際上使用 spring-cloud-starter-oauth2 而不是直接使用 spring-security-oauth2（這會為透過 Proxy 轉發權杖設定一些自動配置）。

完成此操作後，我們也可以移除 session filter 和 "/user" 端點，並設定應用程式以重新導向到授權伺服器（使用 @EnableOAuth2Sso 註釋）

回想一下第四部分，UI 伺服器藉由 @EnableZuulProxy 的優點，充當 API Gateway，我們可以在 YAML 中宣告路由對應。 因此，"/user" 端點可以被 Proxy 到授權伺服器

最後，我們需要將應用程式變更為 WebSecurityConfigurerAdapter，因為現在它將用於修改 @EnableOAuth2Sso 設定的 SSO 過濾器鏈中的預設值

主要變更（除了基礎類別名稱之外）是匹配器進入它們自己的方法，並且不再需要 formLogin()。 明確的 logout() 配置明確地新增了一個未受保護的成功 URL，以便對 /logout 的 XHR 請求將成功返回。

@EnableOAuth2Sso 註釋還需要一些強制性的外部配置屬性，才能夠與正確的授權伺服器聯絡並進行驗證。 因此，我們需要在 application.yml 中添加此項

其中大部分是關於 OAuth2 用戶端 ("acme") 和授權伺服器位置。 還有一個 userInfoUri（就像在資源伺服器中一樣），以便使用者可以在 UI 應用程式本身中進行驗證。

現在一起執行所有伺服器，並在瀏覽器中訪問 UI，網址為 https://127.0.0.1:8080。 點擊 "login" 連結，您將被重新導向到授權伺服器以進行身份驗證（HTTP Basic 彈出視窗）並批准權杖授予（預設 HTML），然後重新導向到 UI 中的首頁，並使用與我們驗證 UI 時相同的權杖從 OAuth2 資源伺服器獲取 greeting。

如果您使用一些開發人員工具，可以在瀏覽器中看到瀏覽器和後端之間的互動（通常 F12 會打開此工具，預設在 Chrome 中有效，可能需要在 Firefox 中安裝插件）。 這是一個摘要

帶有 (uaa) 前綴的請求是對授權伺服器的請求。 標記為 "已忽略" 的回應是 Angular 在 XHR 呼叫中收到的回應，由於我們沒有處理該資料，因此它們被丟棄。 我們確實會在 "/user" 資源的情況下尋找已驗證的使用者，但由於它在第一次呼叫中不存在，因此該回應被丟棄。

在 UI 的 "/trace" 端點中（向下滾動到底部），您將看到對 "/user" 和 "/resource" 的 Proxy 後端請求，帶有 remote:true 和 bearer 權杖，而不是 cookie（就像在第四部分中一樣）被用於身份驗證。 Spring Cloud Security 已經為我們處理了這個問題：透過識別我們有 @EnableOAuth2Sso 和 @EnableZuulProxy，它已經確定（預設情況下）我們想要將權杖轉發到 Proxy 後端。

如果您點擊 "logout" 連結，您將看到首頁發生變化（不再顯示 greeting），因此使用者不再使用 UI 伺服器進行身份驗證。 但是，如果再次點擊 "login"，您實際上不需要再次通過授權伺服器中的身份驗證和批准週期（因為您尚未從該伺服器登出）。 對於這是否是理想的使用者體驗，意見會有分歧，而且這是一個出了名的棘手問題（單一登出：Science Direct 文章 和 Shibboleth 文件）。 理想的使用者體驗可能在技術上不可行，而且您有時也必須懷疑使用者是否真的想要他們所說的。 "我希望 'logout' 登出我" 聽起來很簡單，但顯而易見的回應是，"從什麼登出？ 您是否希望從所有由這個 SSO 伺服器控制的系統登出，還是僅從您點擊 'logout' 連結的系統登出？" 如果您有興趣，那麼本教學課程的稍後章節會更深入地討論它。

這幾乎是我們對 Spring Security 和 Angular 技術堆疊進行的簡略導覽的尾聲。我們現在有一個不錯的架構，在三個獨立的元件中擁有清晰的職責：UI/API 閘道、資源伺服器和授權伺服器/權杖授予者。所有層中的非業務程式碼量現在已降至最低，並且很容易看出在哪裡可以擴展和改進實作，以添加更多業務邏輯。接下來的步驟將是整理我們授權伺服器中的 UI，並可能添加更多測試，包括對 JavaScript 客戶端的測試。另一個有趣的任務是提取所有樣板程式碼並將其放入一個函式庫（例如 "spring-security-angular"）中，其中包含 Spring Security 和 Spring Session 自動配置，以及一些用於 Angular 導航控制器的 webjars 資源。閱讀完本系列文章後，任何希望學習 Angular 或 Spring Security 內部運作原理的人可能會感到失望，但如果您想了解它們如何協同工作，以及少量的配置如何產生顯著的效果，那麼希望您能有良好的體驗。Spring Cloud 是新的，這些範例在編寫時需要使用快照版本，但目前已有候選發布版本，並且即將推出正式版本，因此請查看並通過 Github 或 gitter.im 發送一些回饋意見。

本系列中的下一節是有關存取決策（超越身份驗證），並採用同一個代理後面的多個 UI 應用程式。

您可以在 Github 上的原始碼中找到此應用程式的另一個版本，其中有一個漂亮的登入頁面和使用者授權頁面，其實作方式與我們在 Part II 中實作登入頁面的方式類似。它還使用 JWT 來編碼權杖，因此資源伺服器可以從權杖本身提取足夠的資訊來進行簡單的身份驗證，而不是使用 "/user" 端點。瀏覽器客戶端仍然使用它，通過 UI 伺服器進行代理，以便它可以確定使用者是否已通過身份驗證（與在實際應用程式中對資源伺服器的可能調用次數相比，它不需要經常這樣做）。

這是我們將要構建的基本系統的圖片

與本系列中的其他範例應用程式一樣，它具有 UI（HTML 和 JavaScript）和資源伺服器。與 Section IV 中的範例一樣，它有一個閘道，但這裡它是獨立的，而不是 UI 的一部分。UI 有效地成為後端的一部分，使我們有更多選擇來重新配置和重新實作功能，並且還帶來了其他好處，我們將會看到。

瀏覽器訪問閘道以獲取所有內容，並且不必了解後端的架構（從根本上講，它不知道有後端）。瀏覽器在此閘道中所做的事情之一是身份驗證，例如，它發送一個使用者名稱和密碼，如 Section II 中一樣，並收到一個 Cookie 作為回報。在後續請求中，它會自動呈現 Cookie，並且閘道會將其傳遞到後端。無需在客戶端上編寫任何程式碼即可啟用 Cookie 傳遞。後端使用 Cookie 進行身份驗證，並且由於所有元件共享一個 Session，因此它們共享有關使用者的相同資訊。將其與 Section V 進行比較，在 Section V 中，Cookie 必須在閘道中轉換為存取權杖，然後所有後端元件必須獨立解碼該存取權杖。

與 Section IV 中一樣，閘道簡化了客戶端和伺服器之間的互動，並提供了一個小的、定義明確的介面來處理安全性。例如，我們無需擔心 跨來源資源共享，這是一種可喜的解脫，因為它很容易出錯。

我們將要構建的完整專案的原始碼位於 Github 上的此處，因此您可以直接複製該專案並從那裡開始工作。此系統的最終狀態中還有一個額外的元件 ("double-admin")，因此現在忽略它。

在此架構中，後端與我們在 "spring-session" 範例中構建的非常相似，Section III 中構建的，唯一的例外是它實際上不需要登入頁面。達到我們想要目標的最簡單方法可能是複製 Section III 中的 "resource" 伺服器，並從 "basic" 範例中獲取 UI，Section I 中。要從 "basic" UI 轉到我們想要的 UI，我們只需要添加幾個依賴項（就像我們第一次在 Section III 中使用 Spring Session 時一樣）

由於這現在是一個 UI，因此不需要 "/resource" 端點。完成此操作後，您將擁有一個非常簡單的 Angular 應用程式（與 "basic" 範例中的相同），這大大簡化了測試和推理其行為。

最後，我們希望此伺服器作為後端運行，因此我們將為其提供一個非預設的監聽埠（在 application.properties 中）

如果那是 整個 application.properties 內容，則該應用程式將是安全的，並且可以使用名為 "user" 的使用者和一個隨機密碼進行存取，但該密碼會在啟動時在主控台上列印出來（記錄層級為 INFO）。"security.sessions" 設定意味著 Spring Security 將接受 Cookie 作為身份驗證權杖，但除非它們已經存在，否則不會建立它們。

可以很容易地從我們現有的範例之一生成資源伺服器。它與 Section III 中的 "spring-session" 資源伺服器相同：只是一個 "/resource" 端點 Spring Session 來獲取分散式 Session 資料。我們希望此伺服器具有一個非預設的監聽埠，並且我們希望能夠在 Session 中查找身份驗證，因此我們需要這個（在 application.properties 中）

我們將要 POST 變更到我們的消息資源，這是本教程中的一項新功能。這意味著我們需要在後端進行 CSRF 保護，並且我們需要使用通常的技巧使 Spring Security 與 Angular 配合良好

如果您想先睹為快，完整的範例位於 Github 上的此處。

對於閘道的初始實作（可能運作的最簡單的東西），我們可以只採用一個空的 Spring Boot Web 應用程式並添加 @EnableZuulProxy 註釋。正如我們在 Section I 中看到的那樣，有幾種方法可以做到這一點，其中一種是使用 Spring Initializr 來生成一個骨架專案。更簡單的方法是使用 Spring Cloud Initializr，它與上述相同，但適用於 Spring Cloud 應用程式。使用與 Section I 中相同的命令列操作序列

然後，您可以將該專案（預設情況下它是一個普通的 Maven Java 專案）導入您最喜歡的 IDE 中，或者只使用檔案並在命令列上使用 "mvn"。如果您想從那裡開始，在 Github 上有一個版本，但它有一些我們還不需要的額外功能。

從空白的 Initializr 應用程式開始，我們添加 Spring Session 依賴項（如上面的 UI 中一樣）。閘道已準備好運行，但它還不知道我們的後端服務，因此讓我們在 application.yml 中進行設定（如果您執行了上面的 curl 操作，則從 application.properties 重新命名）

代理中有 2 條路由，它們都使用 sensitive-headers 屬性將 Cookie 向下傳遞，一條用於 UI，另一條用於資源伺服器，並且我們已設定預設密碼和 Session 持久性策略（告訴 Spring Security 始終在身份驗證時建立 Session）。最後一點很重要，因為我們希望在閘道中管理身份驗證，因此也要管理 Session。

我們現在有三個元件，運行在 3 個端口上。如果你的瀏覽器指向 https://127.0.0.1:8080/ui/，應該會出現 HTTP Basic 驗證提示，你可以使用 "user/password" 進行驗證 (你在 Gateway 中的憑證)，驗證成功後，你應該會在 UI 中看到一個問候語，這是透過 Proxy 對 Resource 伺服器進行後端呼叫取得的。

如果您使用一些開發人員工具，可以在瀏覽器中看到瀏覽器和後端之間的互動（通常 F12 會打開此工具，預設在 Chrome 中有效，可能需要在 Firefox 中安裝插件）。 這是一個摘要

你可能看不到 401 錯誤，因為瀏覽器將首頁載入視為單次互動。所有請求都會被代理 (Gateway 中除了管理用的 Actuator 端點之外，目前沒有其他內容)。

太棒了，它運作了！你現在有兩個後端伺服器，一個是 UI，每個都有獨立的功能，並且能夠獨立進行測試，它們透過一個你控制的安全 Gateway 連接在一起，並且你已經為其配置了身份驗證。如果瀏覽器無法存取後端，這也沒關係 (事實上，這可能是一個優點，因為它可以讓你對實體安全性擁有更多的控制權)。

就像 第一部分 中的 "basic" 範例一樣，我們現在可以向 Gateway 新增一個登入表單，例如，透過複製 第二部分 中的程式碼。當我們這樣做時，我們也可以在 Gateway 中新增一些基本的導覽元素，這樣使用者就不必知道 Proxy 中 UI 後端的路徑。所以讓我們首先將 "single" UI 中的靜態資源複製到 Gateway 中，刪除訊息渲染，並將登入表單插入到我們的首頁中 (在 <app/> 某處)

我們將擁有一個漂亮的導覽按鈕，而不是訊息渲染

如果你正在查看 Github 上的範例，它還會有一個帶有 "Logout" 按鈕的最小導覽列。這是登入表單的截圖

為了支援登入表單，我們需要一些 TypeScript，其中包含一個實作我們在 <form/> 中宣告的 login() 函數的元件，並且我們需要設定 authenticated 標誌，以便首頁會根據使用者是否已驗證而呈現不同的內容。例如

其中 login() 函數的實作與 第二部分 中的類似。

我們可以透過使用 self 來儲存 authenticated 標誌，因為在這個簡單的應用程式中只有一個元件。

如果我們運行這個增強的 Gateway，就不需要記住 UI 的 URL，我們可以簡單地載入首頁並點擊連結。這是已驗證使用者的首頁

到目前為止，我們的應用程式在功能上與 第三部分 或 第四部分 中的應用程式非常相似，但有一個額外的專用 Gateway。額外層的優勢可能還不明顯，但我們可以透過擴展系統來強調它。假設我們想要使用該 Gateway 來公開另一個後端 UI，供使用者 "管理" 主要 UI 中的內容，並且我們想要將對此功能的存取限制為具有特殊角色的使用者。因此，我們將在 Proxy 後面新增一個 "Admin" 應用程式，並且系統將如下所示

Gateway 中有一個新的元件 (Admin) 和一個新的路由，在 application.yml 中

現有的 UI 可供具有 "USER" 角色的使用者使用，這在上面的 Gateway 框中的方塊圖上有所指示 (綠色字體)，並且需要 "ADMIN" 角色才能進入 Admin 應用程式。 "ADMIN" 角色的存取決策可以在 Gateway 中應用，在這種情況下，它會出現在 WebSecurityConfigurerAdapter 中，或者可以在 Admin 應用程式本身中應用 (我們將在下面看到如何執行此操作)。

因此，首先，建立一個新的 Spring Boot 應用程式，或複製 UI 並編輯它。除了名稱之外，你不需要更改 UI 應用程式中的任何內容。完成的應用程式位於 Github 此處。

假設在 Admin 應用程式中，我們想要區分 "READER" 和 "WRITER" 角色，以便我們允許 (假設) 稽核員查看主要管理使用者所做的更改。這是一個細緻的存取決策，規則僅在後端應用程式中已知，並且應該僅在後端應用程式中已知。在 Gateway 中，我們只需要確保我們的使用者帳戶具有所需的角色，並且此資訊可用，但 Gateway 不需要知道如何解釋它。在 Gateway 中，我們建立使用者帳戶以保持範例應用程式的自給自足

其中 "admin" 使用者已透過 3 個新角色 ("ADMIN"、"READER" 和 "WRITER") 進行了增強，並且我們還新增了一個具有 "ADMIN" 存取的 "audit" 使用者，但沒有 "WRITER"。

存取決策在 Admin 應用程式中進行。對於 "ADMIN" 角色 (此後端全域需要)，我們在 Spring Security 中執行此操作

對於 "READER" 和 "WRITER" 角色，應用程式本身已分割，並且由於應用程式是以 JavaScript 實作的，因此我們需要在其中做出存取決策。一種方法是擁有一個首頁，其中透過路由器嵌入了計算出的視圖

當元件載入時，會計算路由

應用程式做的第一件事是檢查使用者是否已驗證，並透過查看使用者資料來計算路由。路由在主模組中宣告

每個元件 (每個路由一個) 必須單獨實作。這是 ReadComponent 的範例

WriteComponent 類似，但有一個表單可以更改後端中的訊息

AppService 還需要提供資料來計算路由，因此在 authenticate() 函數中，我們看到了這個

為了支援後端的此函數，我們需要 /user 端點，例如在我們的主應用程式類別中

我們也將在 Gateway 中使用角色來做出存取決策 (因此我們可以有條件地顯示指向 admin UI 的連結)，因此我們也應該將 "roles" 新增到 Gateway 中的 "/user" 端點。完成後，我們可以新增一些 JavaScript 來設定一個標誌，以指示目前的使用者是 "ADMIN"。在 authenticated() 函數中

我們還需要在使用者登出時將 admin 標誌重設為 false

然後在 HTML 中，我們可以有條件地顯示一個新連結

運行所有應用程式並前往 https://127.0.0.1:8080 查看結果。一切都應該運作正常，並且 UI 應該會根據目前已驗證的使用者而改變。

現在我們有一個不錯的小系統，具有 2 個獨立的使用者介面和一個後端 Resource 伺服器，所有這些都受到 Gateway 中相同身份驗證的保護。 Gateway 充當微型代理的事實使得後端安全問題的實作極其簡單，並且它們可以自由地專注於自己的業務問題。 Spring Session 的使用 (再次) 避免了大量的麻煩和潛在的錯誤。

一個強大的功能是，後端可以獨立擁有任何種類的身份驗證 (例如，如果你知道其物理位址和一組本機憑證，你可以直接進入 UI)。 Gateway 強加了一組完全不相關的約束，只要它可以驗證使用者身份並為他們分配滿足後端存取規則的中繼資料即可。這是一種能夠獨立開發和測試後端元件的絕佳設計。如果我們願意，我們可以回到外部 OAuth2 伺服器 (如 第五部分 中，甚至是完全不同的東西) 進行 Gateway 的身份驗證，而無需觸及後端。

此架構的一個額外功能 (單個 Gateway 控制身份驗證，並且所有元件共享會話 Token) 是 "單一登出"，我們在 第五部分 中認定該功能難以實作，但現在免費提供。更精確地說，單一登出使用者體驗的一種特定方法在我們完成的系統中自動可用：如果使用者從任何 UI (Gateway、UI 後端或 Admin 後端) 登出，他將從所有其他 UI 登出，前提是每個單獨的 UI 都以相同的方式實作了 "登出" 功能 (使會話無效)。

我們在 "basic" 應用程式中的 "app" 元件非常簡單，因此徹底測試它不會花費太多時間。這是程式碼的提醒

我們面臨的主要挑戰是在測試中提供 http 物件，以便我們可以斷言它們在元件中的使用方式。實際上，甚至在我們面臨這個挑戰之前，我們需要能夠建立一個元件實例，以便我們可以測試載入時會發生什麼。這是你可以這樣做的方式。

在從 ng new 建立的 Angular 應用程式中，建置時就已經包含了 spec 檔案以及執行它的相關設定。產生的 spec 檔案位於 "src/app" 目錄中，並且像這樣開始：

在這個非常基本的測試套件中，我們有以下重要的元素：

這裡的測試函式非常簡單，實際上只斷言該元件是否存在，如果失敗，測試就會失敗。

為了將 spec 檔案改進到生產等級，我們需要實際斷言控制器載入時會發生什麼事。 由於它會呼叫 http.get()，我們需要模擬該呼叫，以避免僅僅為了單元測試而運行整個應用程式。 為了做到這一點，我們使用 Angular 的 HttpClientTestingModule。

這裡新增的部分是：

要執行我們的 "test" 程式碼，我們可以使用在專案建立時建立的便利指令碼 ./ng test (或 ./ng build)。 它也會作為 Maven 生命週期的一部分執行，所以 ./mvnw install 也是執行測試的好方法，這也是在您的 CI 建置中會發生的事情。

Angular 也為使用瀏覽器和您產生的 JavaScript 進行 "端對端測試" 設定了標準建置。 這些測試被寫成 "specs" 放在最上層的 e2e 目錄中。 本教學課程中的所有範例都包含一個非常簡單的端對端測試，該測試會在 Maven 生命週期中執行（因此如果您在任何 "ui" 應用程式中執行 mvn install，您會看到一個瀏覽器視窗彈出）。

在現代 Web 應用程式中，能夠執行 Javascript 的單元測試非常重要，而這也是我們在本系列中一直忽略（或迴避）的主題。 在本期中，我們介紹了如何編寫測試、如何在開發時以及在持續整合環境中執行它們的基本要素。 我們採用的方法可能不適合所有人，所以如果您以不同的方式進行測試，請不要感到不好意思，但請確保您擁有所有這些要素。 我們在這裡所做的方式可能會讓傳統的 Java 企業開發人員感到舒適，並且可以很好地與他們現有的工具和流程整合，所以如果您屬於這一類，我希望您會發現它作為一個起點很有用。 關於使用 Angular 和 Jasmine 進行測試的更多範例可以在網路上找到很多，但第一個參考點可能是本系列中的 "single" 範例，現在它有一些最新的測試程式碼，比我們需要為本教程中的 "basic" 範例編寫的程式碼要複雜一些。

本教學課程中 oauth2 範例的登出使用者體驗是您從 UI 應用程式登出，但不會從 authserver 登出，所以當您重新登入 UI 應用程式時，authserver 不會再次要求您輸入憑證。 當 authserver 是外部的時（例如 Google 和其他外部 authserver 提供者既不想要也不允許您從不受信任的應用程式登出他們的伺服器），這是完全預期的、正常的和理想的，但如果 authserver 實際上與 UI 屬於同一個系統，這就不是最佳的使用者體驗。

廣義地說，從以 OAuth2 客戶端身份驗證的 UI 應用程式登出有三種模式：

有時，即使您有外部 authserver，您也希望控制身份驗證並新增一個內部存取控制層（例如 authserver 不支援的範圍或角色）。 那麼，使用 EA 進行身份驗證是一個好主意，但要有一個內部 authserver，它可以將您需要的其他詳細資訊新增到 token 中。 來自另一個 OAuth2 教學課程 中的 auth-server 範例向您展示如何以非常簡單的方式做到這一點。 然後，您可以將 GIA 或 SL 模式應用於包含內部 authserver 的系統。

如果您不想要 EA，這裡有一些選項：

請注意，在 SL 很難或不可能的情況下，最好將所有 UI 放在一個閘道後面。 然後您可以使用更容易的 GIA 來控制從您的整個系統登出。

以下是在教學課程範例中可以實作的最簡單的兩個選項，它們可以很好地應用於 GIA 模式（採用 oauth2 範例並從那裡開始）。

只需在瀏覽器客戶端中新增幾行程式碼，即可在 UI 應用程式登出後立即從 authserver 登出。

在本範例中，我們將 authserver 登出端點 URL 硬編碼到 JavaScript 中，但如果需要，很容易將其外部化。 它必須直接 POST 到 authserver，因為我們希望會話 cookie 也一起傳送。 只有當我們明確要求 withCredentials:true 時，XHR 請求才會從瀏覽器傳送並附帶 cookie。

相反，在伺服器端，我們需要一些 CORS 配置，因為該請求來自不同的網域。 例如，在 WebSecurityConfigurerAdapter 中：

"/logout" 端點已被特殊處理。 允許從任何來源呼叫它，並且明確允許傳送憑證（例如 cookie）。 允許的標頭只是 Angular 在範例應用程式中傳送的標頭。

除了 CORS 配置之外，我們還需要為登出端點禁用 CSRF，因為 Angular 不會在跨網域請求中傳送 X-XSRF-TOKEN 標頭。 authserver 在此之前不需要任何 CSRF 配置，但很容易為登出端點新增一個忽略：

透過這兩個簡單的變更，一個在 UI 應用程式客戶端中，另一個在 authserver 中，您會發現一旦您從 UI 應用程式登出，當您重新登入時，系統總是會提示您輸入密碼。

另一個有用的變更是將 OAuth2 客戶端設定為自動批准，這樣使用者就不必批准 Token 的授權。 這在內部授權伺服器中很常見，因為使用者不會將其視為一個獨立的系統。在 AuthorizationServerConfigurerAdapter 中，您只需要在初始化客戶端時設定一個標記即可。

如果您不想放棄登出端點上的 CSRF 保護，您可以嘗試另一種簡單的方法，即在授予 Token 時（實際上是在生成授權碼時）立即讓授權伺服器中的使用者 Session 失效。 這也很容易實現：從 oauth2 範例開始，只需將一個 HandlerInterceptor 添加到 OAuth2 端點。

此攔截器尋找 RedirectView，這表示使用者正在被重定向回客戶端應用程式，並檢查該位置是否包含授權碼或錯誤。如果您使用隱式授權，您也可以添加 "token="。

透過這個簡單的變更，一旦您通過身份驗證，授權伺服器中的 Session 就已經失效，因此無需嘗試從客戶端管理它。 當您從 UI 應用程式登出，然後重新登入時，授權伺服器無法識別您並提示您輸入憑證。 此模式由 原始碼 中 oauth2-logout 範例實作。 這種方法的缺點是您實際上不再擁有真正的單一登入 - 您的系統中的任何其他應用程式都會發現授權伺服器 Session 已失效，並且它們必須再次提示進行身份驗證 - 如果有多個應用程式，這不是一個好的使用者體驗。

在本節中，我們已經了解了如何實作幾種不同的從 OAuth2 客戶端應用程式登出的模式（從本教學課程的第五節中的應用程式開始），並且討論了其他模式的一些選項。 這些選項並不詳盡，但應該讓您對所涉及的權衡取捨有一個很好的了解，以及一些思考最適合您用例的解決方案的工具。 本節中只有幾行 JavaScript，而且這些 JavaScript 並非特定於 Angular（它向 XHR 請求添加了一個標記），因此所有課程和模式都適用於本指南中範例應用程式的狹窄範圍之外。 一個反覆出現的主題是，所有具有多個 UI 應用程式和單一授權伺服器的單一登出 (SL) 方法都往往存在一些缺陷：您能做的最好的事情就是選擇讓您的使用者最不舒服的方法。 如果您有一個內部授權伺服器和一個由多個元件組成的系統，那麼可能只有一種架構可以讓使用者感覺像一個單一系統，那就是所有使用者互動的閘道。

想要撰寫新的指南或貢獻現有的指南嗎？ 請查看我們的貢獻指南。