共计 10078 个字符,预计需要花费 26 分钟才能阅读完成。
探索 spring-oauth-server 与用户详细信息服务的集成、身份验证和创建用户。使用用户详细信息自定义令牌声明。
在本文中,我们将看到如何自定义身份验证,其中用户详细信息是从另一个组件 / 服务通过 HTTP 获取的。将用户详细信息存储为 Principal,并在创建令牌时稍后使用它们来自定义 JWT 中的声明(本文范围仅涵盖两个流程:客户端凭据和代码流)。
该代码可在 GitHub 上获取上获取。
github.com/naveen-maanju/spring-oauth2-server/tree/OAuthCodeFlow为了实现这一目标,需要进行以下更改。
-
密码编码器
-
从服务中获取用户详细信息的服务 / 客户端
-
UserDetails 实体
-
令牌自定义器
密码编码器
需要一个密码编码器来对提供的密码进行编码,以便在验证 / 登录时根据数据库中存储的编码密码来验证 / 验证秘密(在注册或更改密码时)。
请参考 D3PasswordEncoder。https://github.com/naveen-maanju/spring-oauth2-server/blob/OAuthCodeFlow/src/main/java/org/d3softtech/oauth2/server/crypto/password/D3PasswordEncoder.java用于获取 UserDetails 的服务 / 客户端
需要一个 bean/ 服务来提供自定义的 UserDetails。该服务可以提供硬编码的用户详细信息,从内存存储中获取,或者通过调用另一个服务来获取。在此示例中,我们将重点介绍调用另一个服务(user-detail-service)。
oauth-server 中的用户详细信息服务 bean 实现了 spring-security 提供的 UserDetailsService(因为 oauth-server 是基于 spring-security 构建的)。
@Service
public class D3UserDetailsService implements UserDetailsService {
private final WebClient webClient;
public D3UserDetailsService(@Value("${user.details.service.base.url}") String userServiceBaseUrl) {webClient = WebClient.builder().baseUrl(userServiceBaseUrl).build();}
public UserDetails loadUserByUsername(String username) {D3User user = webClient.get()
.uri(uriBuilder -> uriBuilder.path("/users").path("/{username}").build(username))
.retrieve()
.onStatus(httpStatusCode -> httpStatusCode.isSameCodeAs(HttpStatus.NOT_FOUND),
clientResponse -> Mono.error(new D3Exception("Bad credentials")))
.bodyToMono(D3User.class).block(Duration.ofSeconds(2));
return new D3UserDetails(user.userId(), user.username(), user.password(), getAuthorities(user.roles()), user.ssn(),
user.email(), user.isPasswordChangeRequired(), user.roles());
}
private List getAuthorities(List roles) {List authorities = new ArrayList(roles.size());
for (String role : roles) {authorities.add(new SimpleGrantedAuthority("ROLE_" + role));
}
return authorities;
}
@JsonIgnoreProperties(ignoreUnknown = true)
@Builder
public record D3User(@JsonProperty("id") Integer userId, @JsonProperty("userName") String username,
String password, List roles, String ssn, String email,
boolean isPasswordChangeRequired) {}} UserDetails 实体
可以定义一个 UserDetails 实体(不是必须的,除非您想向经过身份验证的用户上下文添加更多详细信息):
@Getter
public class D3UserDetails extends User {
private final Integer userId;
private final boolean isPasswordChangeRequired;
private final List roles;
private final String ssn;
private final String email;
public D3UserDetails(Integer userId, String username, String password, List authorities,
String ssn, String email, boolean isPasswordChangeRequired, List roles) {super(username, password, authorities);
this.userId = userId;
this.ssn = ssn;
this.email = email;
this.isPasswordChangeRequired = isPasswordChangeRequired;
this.roles = roles;
}
} 此 D3UserDetails 实体扩展了 Spring Security User 实体,并提供了附加属性。
令牌自定义器
需要令牌自定义器为 access_token 提供附加属性 / 声明:
自包含的 JWT
如果 access_token 格式是自包含的,则需要一个实现 Auth2TokenCustomizer
public class OAuth2JWTTokenCustomizer implements OAuth2TokenCustomizer {private static final Consumer AUTHORIZE_CODE_FLOW_CUSTOMIZER = (jwtContext) -> {if (AUTHORIZATION_CODE.equals(jwtContext.getAuthorizationGrantType()) && ACCESS_TOKEN.equals(jwtContext.getTokenType())) {UsernamePasswordAuthenticationToken authenticatedUserToken = jwtContext.getPrincipal();
D3UserDetails userDetails = (D3UserDetails) authenticatedUserToken.getPrincipal();
Map.of("userId", userDetails.getUserId(),
"username", userDetails.getUsername(),
"isPasswordChangeRequired", userDetails.isPasswordChangeRequired(),
"roles", userDetails.getRoles(),
"ssn", userDetails.getSsn(),
"email", userDetails.getEmail())
.forEach((key, value) -> jwtContext.getClaims().claim(key, value));
}
};
private static final Consumer CLIENT_CREDENTIALS_FLOW_CUSTOMIZER = (jwtContext) -> {if (CLIENT_CREDENTIALS.equals(jwtContext.getAuthorizationGrantType()) && ACCESS_TOKEN.equals(jwtContext.getTokenType())) {OAuth2ClientCredentialsAuthenticationToken clientCredentialsAuthentication = jwtContext.getAuthorizationGrant();
Map additionalParameters = clientCredentialsAuthentication.getAdditionalParameters();
additionalParameters.forEach((key, value) -> jwtContext.getClaims().claim(key, value));
}
};
private final Consumer jwtEncodingContextCustomizers = AUTHORIZE_CODE_FLOW_CUSTOMIZER.andThen(CLIENT_CREDENTIALS_FLOW_CUSTOMIZER);
@Override
public void customize(JwtEncodingContext context) {jwtEncodingContextCustomizers.accept(context);
} 由于客户端凭证流程始终是自包含的,因此我们必须在 JWTToken 中添加对其的支持,以及代码流。在代码流的情况下,我们对用户进行身份验证,并使用从 UserService 获取的用户详细信息作为 JWT 中的附加声明。而在客户端凭证流程的情况下,附加参数将作为请求参数提供。
不透明令牌
如果 access_token 格式是引用的,则需要一个实现 OAuth2TokenCustomizer
@Component
public class OAuth2OpaqueTokenIntrospectionResponseCustomizer implements
OAuth2TokenCustomizer {private static final Consumer INTROSPECTION_TOKEN_CLAIMS_CUSTOMIZER = (claimsContext) -> {if (AUTHORIZATION_CODE.equals(claimsContext.getAuthorizationGrantType()) && ACCESS_TOKEN.equals(claimsContext.getTokenType())) {UsernamePasswordAuthenticationToken authenticatedUserToken = claimsContext.getPrincipal();
D3UserDetails userDetails = (D3UserDetails) authenticatedUserToken.getPrincipal();
Map.of("userId", userDetails.getUserId(),
"username", userDetails.getUsername(),
"isPasswordChangeRequired", userDetails.isPasswordChangeRequired(),
"roles", userDetails.getRoles(),
"ssn", userDetails.getSsn(),
"email", userDetails.getEmail())
.forEach((key, value) -> claimsContext.getClaims().claim(key, value));
}
};
private final Consumer claimsContextCustomizer = INTROSPECTION_TOKEN_CLAIMS_CUSTOMIZER;
@Override
public void customize(OAuth2TokenClaimsContext jwtContext) {claimsContextCustomizer.accept(jwtContext);
}
} 由于引用令牌与代码流相关联,在成功认证后,当代码被交换为令牌时,授权服务器发布的 access_token 将不是 JWT,而是一个引用。这个引用应该通过 introspection 端点使用用户详细信息声明和其他声明来交换为 access_token。可以参考这里的一个可行的函数测试。
这里有一个 GitHub 上的可行示例。https://github.com/naveen-maanju/spring-oauth2-server/tree/OAuthCodeFlow/src/main/java/org/d3softtech/oauth2/server/token/customizer
对于自包含的情况,在代码流的最后,access_token 将以包含通过自定义器添加的所有附加声明的 JWT 形式存在。而对于不透明令牌(引用),需要使用 introspection 调用来获取响应中以声明形式表示的 UserDetails。
响应的样子是怎样的?
您可以通过在 GitHub 上添加的测试进行验证:它包含两个涵盖两种情况的测试方法。
自包含的 JWT
代码流令牌响应
{
"access_token":"eyJraWQiOiIxNzdjMzA1MC1lMGY2LTQ4NDctYjJiNy02NTY2ZDVlZGZiMWUiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJkM3VzZXIiLCJyb2xlcyI6WyJhZG1pbiIsInVzZXIiXSwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo2MDYwIiwiaXNQYXNzd29yZENoYW5nZVJlcXVpcmVkIjp0cnVlLCJ1c2VySWQiOjEyMywic3NuIjoiMTk3NjExMTE5ODc3IiwiYXVkIjoic3ByaW5nLXRlc3QiLCJuYmYiOjE2OTkzNDcyODMsInNjb3BlIjpbIm9wZW5pZCIsInByb2ZpbGUiLCJlbWFpbCJdLCJleHAiOjE2OTkzNDc1ODMsImlhdCI6MTY5OTM0NzI4MywiZW1haWwiOiJ0ZXN0LXVzZXJAZDNzb2Z0dGVjaC5jb20iLCJ1c2VybmFtZSI6ImQzdXNlciJ9.RQiLWmGf9_rV4UfKzKomEhuJrncG08a2F34mN-gPDw7vK2csRPGMMDRYh2Gm0Eh-n3JRTaJ9_twdPQG9BgQifKiubPsM_etxpxKLLfQHoTfqzguiP8D53FyXLB9xwhvAgKH0KWLOSRxl-bdZsctpVZpqrMTPZtfdlt7tqcl71tGDY-7Nri76Kod39kyVcKEAuLNNZKt4fhn8tCLUA64jKfmKPM3afmAdvf0PlEwgwqhGhojxtCLnYNtzuO_VQheTaQvZxrzcXw3gNRnO4vppedAyG1gmUV44l4u7cXdhG-vGc1ItU45PSg3EaG7BtHU1axKu3qHB8C7mHAhk3zVuUA",
"refresh_token":"t9U3CDejVC2k_eNtyvM23RTN3ePpS9x8b8_pVrD-U-ivLij0dWt9NZVO9wn-kIsyr89Yj-fBFpH8BFZoMUIqGI_wZSmKgYqpO0SmNE-C1_hW8DVLqT8zQ7PkhF_Gil7N",
"scope":"openid profile email",
"token_type":"Bearer",
"expires_in":299
}AccessToken JWT 声明如下所示:
{
"sub": "d3user",
"roles": [
"admin",
"user"
],
"iss": "http://localhost:6060",
"isPasswordChangeRequired": true,
"userId": 123,
"ssn": "197611119877",
"aud": "spring-test",
"nbf": 1699347283,
"scope": [
"openid",
"profile",
"email"
],
"exp": 1699347583,
"iat": 1699347283,
"email": "test-user@d3softtech.com",
"username": "d3user"
}我们可以看到 JWT 主体包含了额外的声明,例如:
-
roles
-
isPasswordChangeRequired
-
userId
-
ssn
-
email
-
username 文章来源:https://www.toymoban.com/diary/system/527.html
我们在令牌的自定义器中提供了这些声明。同样,您可以添加任意多个声明。
使用 access_token 的检查响应
{
"active":true,
"client_id":"spring-test",
"iat":1698757155,
"exp":1698760755
}默认情况下,/oauth2/introspect 的响应只会返回 access_token 的状态。如果需要的话,它也可以进行自定义。
不透明令牌
代码流:代码交换响应
{
"access_token":"vbHFMLGQPmqAWWOzjLoYNu_RG1jBHc7oifI9Hl9N1eCyG3jdzTgAoN8YXAAK-GfEy1CUhokTAnM2aC4GsDe07OgPBpI_sAGHP60pQgbTDTyBUJj2jO1inIi0FoCpmPcj",
"refresh_token":"Rj8CpnQexjtFJzCPFJUmhKGVmgdFAJ6RLMB_h6SwYgDItPLwSu6AR7CZ3WpIEQthm7pGEpis7NlrarvIHX5YjwBX6wGwWpwfnIKVSa0OJYJqhFsZfFvOmn8sypi4DS4b",
"scope":"openid profile email",
"token_type":"Bearer",
"expires_in":299
}在代码流的最后,您将获得封装了 access_token、refresh_token、scope、token_type 和 expires_in 的 JSON 响应。
要获取经过身份验证用户的声明,我们必须针对 spring-oauth-server 调用 /oauth2/introspect 端点。
使用 access_token 的检查响应(无自定义器)
{
"active":true,
"sub":"d3user",
"aud":["spring-reference"],
"nbf":1698755697,
"scope":"openid profile email",
"iss":"http://localhost:6060",
"exp":1698755997,
"iat":1698755697,
"jti":"2b4165c0-68f3-4e3d-b67e-d50c3f7b6110",
"client_id":"spring-reference",
"token_type":"Bearer"
}没有自定义器,它具有所有默认声明,例如代码流中经过身份验证的用户的状态为“active”和主题(sub)。
使用 access_token 的检查响应(带有自定义器)
{
"active":true,
"sub":"d3user",
"roles":[
"admin",
"user"
],
"iss":"http://localhost:6060",
"isPasswordChangeRequired":true,
"userId":123,
"ssn":"197611119877",
"aud":["spring-reference"],
"nbf":1698755588,
"scope":"openid profile email",
"exp":1698755888,
"iat":1698755588,
"operatorId":"197611119877",
"jti":"c0560938-c413-44f7-a01b-9cbc119eae58",
"email":"test-user@d3softtech.com",
"username":"d3user",
"client_id":"spring-reference",
"token_type":"Bearer"
}使用自定义器,access_token 将具有额外的声明,例如:
-
roles
-
isPasswordChangeRequired
-
userId
-
ssn
-
operatorId
-
email
-
username
注意:如果您在服务中使用 Spring Security,则检查将由安全层处理。我将在另一篇详细介绍中详细介绍如何在 oauth2-resource-server 中使用 Spring Security 文章来源地址 https://www.toymoban.com/diary/system/527.html
到此这篇关于 Spring OAuth 服务器:使用 UserDetails 服务验证用户身份的文章就介绍到这了, 更多相关内容可以在右上角搜索或继续浏览下面的相关文章,希望大家以后多多支持 TOY 模板网!
