|
此版本仍在开发中,尚未被视为稳定版本。如需最新稳定版本,请使用 Spring Security 7.0.4! |
已授权客户端功能
本节介绍 Spring Security 为 OAuth2 客户端提供的附加功能。
解析授权客户端
@RegisteredOAuth2AuthorizedClient 注解提供了将方法参数解析为 OAuth2AuthorizedClient 类型参数值的能力。
与使用 OAuth2AuthorizedClient 或 ReactiveOAuth2AuthorizedClientManager 来访问 ReactiveOAuth2AuthorizedClientService 相比,这是一种更为便捷的替代方式。
-
Java
-
Kotlin
@Controller
public class OAuth2ClientController {
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
return Mono.just(authorizedClient.getAccessToken())
...
.thenReturn("index");
}
}@Controller
class OAuth2ClientController {
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
return Mono.just(authorizedClient.accessToken)
...
.thenReturn("index")
}
}@RegisteredOAuth2AuthorizedClient 注解由 @RegisteredOAuth2AuthorizedClient 处理,它直接使用了一个ReactiveOAuth2AuthorizedClientManager,因此继承了它的能力。
适用于响应式环境的 WebClient 集成
The OAuth 2.0 Client 支持通过一个 WebClient 集成到 ExchangeFilterFunction 中。
ServerOAuth2AuthorizedClientExchangeFilterFunction 提供了一种简单的机制,用于通过使用 OAuth2AuthorizedClient 请求受保护的资源,并将关联的 OAuth2AccessToken 作为 Bearer Token 包含在内。
它直接使用了一个 ReactiveOAuth2AuthorizedClientManager,因此继承了以下功能:
-
如果客户端尚未被授权,则将请求一个
OAuth2AccessToken。-
authorization_code- 触发授权请求重定向以启动流程 -
client_credentials- 的访问Tokens直接从Tokens终结点获取。
-
-
如果
OAuth2AccessToken过期,如果有可用的ReactiveOAuth2AuthorizedClientProvider可以执行授权,则会对其进行刷新(或更新)
以下代码展示了如何使用 OAuth 2.0 客户端支持来配置 WebClient 的示例:
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
return WebClient.builder()
.filter(oauth2Client)
.build();
}@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
return WebClient.builder()
.filter(oauth2Client)
.build()
}提供授权客户端
ServerOAuth2AuthorizedClientExchangeFilterFunction 通过从 OAuth2AuthorizedClient(请求属性)中解析出 ClientRequest.attributes() 来确定要使用的客户端(针对某个请求)。
以下代码展示了如何将 OAuth2AuthorizedClient 设置为请求属性:
-
Java
-
Kotlin
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) (1)
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) (1)
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}| 1 | oauth2AuthorizedClient() 是 static 方法,位于 ServerOAuth2AuthorizedClientExchangeFilterFunction 中。 |
以下代码展示了如何将 ClientRegistration.getRegistrationId() 设置为请求属性:
-
Java
-
Kotlin
@GetMapping("/")
public Mono<String> index() {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) (1)
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}@GetMapping("/")
fun index(): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) (1)
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}| 1 | clientRegistrationId() 是 static 方法,位于 ServerOAuth2AuthorizedClientExchangeFilterFunction 中。 |
默认授权客户端
如果既未提供 OAuth2AuthorizedClient 也未提供 ClientRegistration.getRegistrationId() 作为请求属性,则 ServerOAuth2AuthorizedClientExchangeFilterFunction 可根据其配置确定要使用的默认客户端。
如果配置了setDefaultOAuth2AuthorizedClient(true)并且用户通过ServerHttpSecurity.oauth2Login()进行了身份验证,则当前的OAuth2AccessToken关联的OAuth2AuthenticationToken将被使用。
以下代码展示了具体的配置:
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultOAuth2AuthorizedClient(true);
return WebClient.builder()
.filter(oauth2Client)
.build();
}@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultOAuth2AuthorizedClient(true)
return WebClient.builder()
.filter(oauth2Client)
.build()
}|
由于所有HTTP请求都会收到访问Tokens,因此建议谨慎使用此功能。 |
或者,如果使用有效的 setDefaultClientRegistrationId("okta") 配置了 ClientRegistration,则会使用与 OAuth2AccessToken 关联的 OAuth2AuthorizedClient。
以下代码展示了具体的配置:
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultClientRegistrationId("okta");
return WebClient.builder()
.filter(oauth2Client)
.build();
}@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultClientRegistrationId("okta")
return WebClient.builder()
.filter(oauth2Client)
.build()
}|
由于所有HTTP请求都会收到访问Tokens,因此建议谨慎使用此功能。 |