我正在创建一个 spring boot 2.0 应用程序并尝试启用 oauth2 安全性。到目前为止，我在同一个应用程序中拥有身份验证服务器和资源服务器。我的客户端和用户详细信息以及生成的令牌保存在数据库 (mysql) 中，并且数据库架构与 spring 文档提供的相同。当我使用 Postman 在标头中提供 clientId 和 clientSecret 并在正文中提供用户凭据时，当我点击“/oauth/token/”端点时，我成功获取了访问令牌。

{

"access_token": "bef2d974-2e7d-4bf0-849d-d80e8021dc50",

"token_type": "bearer",

"refresh_token": "32ed6252-e7ee-442c-b6f9-d83b0511fcff",

"expires_in": 6345,

"scope": "read write trust"

}

但是，当我尝试使用此访问令牌访问我的 rest api 时，我收到 401 Unauthorized 错误：

{

"timestamp": "2018-08-13T11:17:19.813+0000",

"status": 401,

"error": "Unauthorized",

"message": "Unauthorized",

"path": "/myapp/api/unsecure"

}

我正在使用的其余 API 如下：

http://localhost:8080/myapp/api/unsecure

http://localhost:8080/myapp/api/secure

myapp 是我的应用程序的上下文路径。

对于“安全”api，我在请求标头中提供了访问令牌，如 Spring 文档中所述：

Authorization: Bearer bef2d974-2e7d-4bf0-849d-d80e8021dc50

而对于不安全的 api，我已经尝试过使用和不使用 Authentication 标头。在所有情况下，我都收到了两个 api 的相同错误。

此外，当我尝试打印当前经过身份验证的用户时，它会被打印为匿名用户。

我想要的是如下：

1）我希望只有在请求标头中提供访问令牌时才能访问我的安全 api。

2) 我希望未经授权的用户可以访问我的不安全 api。

3) 我应该在访问安全 url 时使用 SecurityContextHolder 获取当前经过身份验证的用户。