如何解决Spring Security对不同的OAuth服务器的多次调用需要在SecurityContext中使用多个令牌
我有一个spring应用程序,用于验证其余端点上的JWT令牌。
使用SecurityChain
.oAuth2ResourceServer()
.jwt()
这似乎在JwtAuthenticationToken
中创建了一个ReactiveSecurityContextHolder
。
然后,我想通过检查承载令牌从该端点对输入进行身份验证,从而对客户端进行身份验证。然后使用webClient
呼叫另一个休息服务。该Web客户端需要使用其他OAuth服务器使用外部服务通过授予类型密码进行身份验证,并获取自己的承载令牌。
问题是Web客户端使用了包含经过身份验证的JWT的ReactiveSecurityContextHolder
。并尝试使用此信息,而不是将我的应用连接到其余端点并对其进行身份验证。
我已经设置Yaml来注册我的客户
spring:
security:
oauth2:
client:
registration:
Myapp:
client-id:
client-secret:
token-uri:
authorization-grant-type:
然后添加过滤器功能
ServerOAuth2AuthorizedClientExchangeFilterFunction
但是我得到principalName cannot be empty
,因为它似乎可以通过在应用程序的其余端点上验证调用方来重用安全上下文。
应该如何设计它或显示示例,以显示如何使用不同的安全上下文或在服务与服务之间使用不同的令牌?
解决方法
您正确的认为ServerOAuth2AuthorizedClientExchangeFilterFunction
的设计是基于当前授权的客户端的,您已经解释了在这种情况下不希望使用的客户端。
您已表明要使用客户端的凭据作为“资源所有者密码授予”的用户名和密码。但是,Spring Security并没有做到这一点。
但是,您可以直接使用WebClientReactivePasswordTokenResponseClient
来自己制定自定义请求。
简而言之,这将是一个自定义的ExchangeFilterFunction
,其外观类似于:
ClientRegistrationRespository clientRegistrations;
ReactiveOAuth2AccessTokenResponseClient<OAuth2PasswordGrantRequest>
accessTokenResponseClient = new WebClientReactivePasswordTokenResponseClient();
Mono<ClientResponse> filter(ClientRequest request,ExchangeFunction next) {
return this.clientRegistrations.findByRegistrationId("registration-id")
.map(clientRegistration -> new OAuth2PasswordGrantRequest(
clientRegistration,clientRegistration.getClientId(),clientRegistration.getClientSecret())
.map(this.accessTokenResponseClient::getTokenResponse)
.map(tokenResponse -> ClientRequest.from(request)
.headers(h -> h.setBearerAuth(tokenResponse.getAccessToken().getTokenValue())
.build())
.flatMap(next::exchange);
}
(为简便起见,我已删除了所有错误处理。)
上面的代码采取以下步骤:
- 查找适当的客户端注册-其中包含提供商的端点以及客户端ID和密码
- 使用客户端的ID和密码作为资源所有者的用户名和密码来构造
OAuth2PasswordGrantRequest
- 使用
WebClientReactivePasswordTokenResponseClient
执行请求
- 将访问令牌设置为请求的承载令牌
- 继续执行链中的下一个功能
请注意,要使用Spring Security的OAuth 2.0客户端功能,您还需要将应用程序配置为客户端。这意味着至少将您的DSL更改为除了.oauth2Client()
之外还包括.oauth2ResourceServer()
。这也意味着配置ClientRegistrationRepository
。为了使我的评论重点放在过滤器功能上,我省略了该细节,但如有必要,我也乐于在此提供帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。