您现在的位置是：亿华云 > 系统运维

Spring Security5.5发布，正式实装OAuth2.0的第五种授权模式

亿华云2025-10-03 11:34:54【系统运维】1人已围观

简介今天Spring Security 5.5发布了，主要涉及OAuth2.0和SAML2.0两个协议。其中最大的亮点是支持了OAuth2.0的另一种授权模式jwt-bearer。这个模式可能对大家比较陌

今天Spring Security 5.5发布了，发布主要涉及OAuth2.0和SAML2.0两个协议。正式其中最大的实装授权亮点是支持了OAuth2.0的另一种授权模式jwt-bearer。这个模式可能对大家比较陌生，的第种说实话胖哥也没在实际开发中玩过这种模式，模式不过它并不是发布刚出的规范，这是正式2015年5月起草的RFC7523的一部分，如今正式实装到Spring Security中，实装授权今天就和大家一起学习一下这个规范。的第种

JWT Bearer 授权模式

通常出现在各大技术社区的模式OAuth2.0有四大授权模式：

授权码模式 grant_type=authorization_code。

隐藏模式response_type=token。发布

密码模式grant_type=password。正式

凭据模式grant_type=client_credentials。实装授权

其实这几种模式中都会用到Bearer Token，的第种甚至Token直接选用JWT技术。模式那么它作为一种授权模式是如何定义的呢?

JWT Bearer 授权

首先jwt-bearer认证请求也要携带grant_type参数来表明使用的授权模式：

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer

这个grant_type有点长!还要携带assertion参数，服务器托管这个参数对应的值只能是一个JWT，另外也可以携带(可选)scope参数以表明请求的作用域。根据上面的描述，一个jwt-bearer类型的授权模式大致是这样的：

POST /token/oauth2 HTTP/1.1 Host: felord.cn Content-Type: application/x-www-form-urlencoded grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer &assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiJhbGwiLCJhdWQiOiJGZWxvcmRjbiIsInJv. ER2U4CAt1xYxXBmnVQsrirkMwPwxwjWxjs

其实也就是说用户如果要请求授权要先有一个JWT，我个人估计有可能是可以被授权服务器信任的第三方JWT凭据，凭据校验通过用户就可以得到相应的授权去访问特定的资源。

客户端身份认证

RFC7523还规定JWT Bearer还可以用于客户端身份验证。客户端携带一个client_assertion_type参数：

client_assertion_type=urn：ietf：params：oauth：client-assertion-type：jwt-bearer

同Beaerer JWT授权类似，还要携带一个client_assertion参数，这个参数同样要带一个JWT。请求实例如下：

POST /token/oauth2 HTTP/1.1 Host: felord.cn Content-Type: application/x-www-form-urlencoded grant_type=authorization_code& code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4& client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3A client-assertion-type%3Ajwt-bearer& client_assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiJhbGwiLCJhdWQiOiJGZWxvcmRjbiIsInJv. ER2U4CAt1xYxXBmnVQsrirkMwPwxwjWxjs