领先一步
VMware 提供培训和认证,助您加速进步。
了解更多Spring Security 中 OAuth2 客户端组件模型的处理
在 Spring Security 5 中,随着 OAuth2 Resource Server 和 OAuth2 Client 的引入,我们在 OAuth2 方面取得了许多进展。
如今,使用 OAuth2 Resource Server 中可用的功能开发受 OAuth2 保护的应用程序非常方便。此外,我们可以利用 OAuth2 客户端功能与 OAuth 2.0 和 OpenID Connect 1.0 提供商集成,从而可以使用 OAuth2 登录对用户进行身份验证和/或向受 OAuth2 保护的应用程序发出受保护的请求。
然而,OAuth2 的格局非常复杂,为了与那些不灵活甚至不符合各种 OAuth2 相关标准的第三方进行集成,通常需要进行定制。面对所有这些复杂性,Spring Security 的 OAuth2 客户端组件在开发时就考虑到了极致的灵活性。这种灵活性伴随着权衡,尤其是在配置方面。
我们已经听取了社区关于配置的反馈,一个共同的主题是简化各种 OAuth2 客户端组件的配置。让我们来看看在最新的 Spring Security 里程碑版本 6.2.0-M2 中,配置是如何简化的。
更新: 参考文档的 OAuth2 页面已更新,其中包含基于本文的 OAuth2 客户端概述和示例。
入门
让我们从 start.spring.io 上的一个简单应用程序开始,我们可以在此基础上构建各种可能遇到的用例。以下配置等同于 Spring Boot 提供的默认配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Client(Customizer.withDefaults())
.oauth2Login(Customizer.withDefaults());
return http.build();
}
}
所需要的只是 application.yml 中的一个 ClientRegistration,例如以下内容
spring:
security:
oauth2:
client:
registration:
my-oauth2-client:
provider: my-auth-server
client-id: my-client-id
client-secret: my-client-secret
authorization-grant-type: authorization_code
client-authentication-method: client_secret_basic
scope: openid,profile,message.read,message.write
provider:
my-auth-server:
issuer-uri: https://my-auth-server.com
用例
考虑到上述配置,让我们思考以下用例
用例:我想自定义令牌请求参数
一个常见的用例是需要在获取 access_token 时自定义请求参数。例如,假设我们想在令牌请求中添加一个自定义的 audience 参数,因为提供商要求 authorization_code 授权需要此参数。
以前,我们必须确保这种定制同时应用于 OAuth2 登录(如果我们使用此功能)和 OAuth2 客户端组件,使用 Spring Security DSL。以下是配置可能的样子
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
OAuth2AuthorizationCodeGrantRequestEntityConverter requestEntityConverter =
new OAuth2AuthorizationCodeGrantRequestEntityConverter();
requestEntityConverter.addParametersConverter(parametersConverter());
DefaultAuthorizationCodeTokenResponseClient accessTokenResponseClient =
new DefaultAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setRequestEntityConverter(requestEntityConverter);
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Client((oauth2Client) -> oauth2Client
.authorizationCodeGrant((authorizationCode) -> authorizationCode
.accessTokenResponseClient(accessTokenResponseClient)
)
)
.oauth2Login((oauth2Login) -> oauth2Login
.tokenEndpoint((tokenEndpoint) -> tokenEndpoint
.accessTokenResponseClient(accessTokenResponseClient)
)
);
return http.build();
}
private static Converter<OAuth2AuthorizationCodeGrantRequest, MultiValueMap<String, String>> parametersConverter() {
return (grantRequest) -> {
MultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
parameters.set("audience", "xyz_value");
return parameters;
};
}
}
在最新的里程碑中,我们可以简单地发布一个类型为 OAuth2AccessTokenResponseClient<T>(其中 T 是 OAuth2AuthorizationCodeGrantRequest)的 bean,它将自动被拾取。现在可以将此配置简化为
@Configuration
public class SecurityConfig {
@Bean
public DefaultAuthorizationCodeTokenResponseClient authorizationCodeAccessTokenResponseClient() {
OAuth2AuthorizationCodeGrantRequestEntityConverter requestEntityConverter =
new OAuth2AuthorizationCodeGrantRequestEntityConverter();
requestEntityConverter.addParametersConverter(parametersConverter());
DefaultAuthorizationCodeTokenResponseClient accessTokenResponseClient =
new DefaultAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setRequestEntityConverter(requestEntityConverter);
return accessTokenResponseClient;
}
private static Converter<OAuth2AuthorizationCodeGrantRequest, MultiValueMap<String, String>> parametersConverter() {
// ...
}
}
注意: 请注意,因为这是我们执行的唯一定制,我们实际上可以完全省略 SecurityFilterChain bean,并使用 Spring Boot 提供的默认值。如果我们还需要配置其他内容,这可能并非总是如此,但无论如何都值得考虑,因为我们的配置会更简单。
我们也可以为其他授权类型发布类似的 bean。例如,要为 client_credentials 授权定制令牌请求,我们可以发布以下 bean
@Configuration
public class SecurityConfig {
@Bean
public DefaultClientCredentialsTokenResponseClient clientCredentialsAccessTokenResponseClient() {
OAuth2ClientCredentialsGrantRequestEntityConverter requestEntityConverter =
new OAuth2ClientCredentialsGrantRequestEntityConverter();
requestEntityConverter.addParametersConverter(parametersConverter());
DefaultClientCredentialsTokenResponseClient accessTokenResponseClient =
new DefaultClientCredentialsTokenResponseClient();
accessTokenResponseClient.setRequestEntityConverter(requestEntityConverter);
return accessTokenResponseClient;
}
private static Converter<OAuth2ClientCredentialsGrantRequest, MultiValueMap<String, String>> parametersConverter() {
// ...
}
}
用例:我想自定义 OAuth2 客户端组件使用的 RestOperations
另一个常见的用例是需要自定义获取 access_token 时使用的 RestOperations(或反应式应用程序的 WebClient)。我们可能需要这样做来通过自定义 HttpMessageConverter 自定义响应处理,或者通过自定义 ClientHttpRequestFactory 应用企业网络的代理设置。
假设我们想同时自定义多种授权类型。以前,我们必须确保这种定制同时应用于 OAuth2 登录(如果我们使用此功能)和 OAuth2 客户端组件。我们必须同时使用 Spring Security DSL(用于 authorization_code 授权)并发布一个类型为 OAuth2AuthorizedClientManager 的 bean 用于其他授权类型,这需要非常冗长的配置。以下是配置可能的样子
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
DefaultAuthorizationCodeTokenResponseClient accessTokenResponseClient =
new DefaultAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setRestOperations(restTemplate());
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Client((oauth2Client) -> oauth2Client
.authorizationCodeGrant((authorizationCode) -> authorizationCode
.accessTokenResponseClient(accessTokenResponseClient)
)
)
.oauth2Login((oauth2Login) -> oauth2Login
.tokenEndpoint((tokenEndpoint) -> tokenEndpoint
.accessTokenResponseClient(accessTokenResponseClient)
)
);
return http.build();
}
@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
ClientRegistrationRepository clientRegistrationRepository,
OAuth2AuthorizedClientRepository authorizedClientRepository) {
DefaultRefreshTokenTokenResponseClient refreshTokenAccessTokenResponseClient =
new DefaultRefreshTokenTokenResponseClient();
refreshTokenAccessTokenResponseClient.setRestOperations(restTemplate());
DefaultClientCredentialsTokenResponseClient clientCredentialsAccessTokenResponseClient =
new DefaultClientCredentialsTokenResponseClient();
clientCredentialsAccessTokenResponseClient.setRestOperations(restTemplate());
DefaultPasswordTokenResponseClient passwordAccessTokenResponseClient =
new DefaultPasswordTokenResponseClient();
passwordAccessTokenResponseClient.setRestOperations(restTemplate());
OAuth2AuthorizedClientProvider authorizedClientProvider =
OAuth2AuthorizedClientProviderBuilder.builder()
.authorizationCode()
.refreshToken((refreshToken) -> refreshToken
.accessTokenResponseClient(refreshTokenAccessTokenResponseClient)
)
.clientCredentials((clientCredentials) -> clientCredentials
.accessTokenResponseClient(clientCredentialsAccessTokenResponseClient)
)
.password((password) -> password
.accessTokenResponseClient(passwordAccessTokenResponseClient)
)
.build();
DefaultOAuth2AuthorizedClientManager authorizedClientManager =
new DefaultOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository);
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
return authorizedClientManager;
}
@Bean
public RestTemplate restTemplate() {
// ...
}
}
在最新的里程碑中,我们可以简单地为每个 OAuth2AccessTokenResponseClient<T>(其中 T 是 Spring Security 中开箱即用支持的授权类型)发布 bean。现在可以将此配置简化为
@Configuration
public class SecurityConfig {
@Bean
public DefaultAuthorizationCodeTokenResponseClient authorizationCodeAccessTokenResponseClient() {
DefaultAuthorizationCodeTokenResponseClient accessTokenResponseClient =
new DefaultAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setRestOperations(restTemplate());
return accessTokenResponseClient;
}
@Bean
public DefaultRefreshTokenTokenResponseClient refreshTokenAccessTokenResponseClient() {
DefaultRefreshTokenTokenResponseClient accessTokenResponseClient =
new DefaultRefreshTokenTokenResponseClient();
accessTokenResponseClient.setRestOperations(restTemplate());
return accessTokenResponseClient;
}
@Bean
public DefaultClientCredentialsTokenResponseClient clientCredentialsAccessTokenResponseClient() {
DefaultClientCredentialsTokenResponseClient accessTokenResponseClient =
new DefaultClientCredentialsTokenResponseClient();
accessTokenResponseClient.setRestOperations(restTemplate());
return accessTokenResponseClient;
}
@Bean
public DefaultPasswordTokenResponseClient passwordAccessTokenResponseClient() {
DefaultPasswordTokenResponseClient accessTokenResponseClient =
new DefaultPasswordTokenResponseClient();
accessTokenResponseClient.setRestOperations(restTemplate());
return accessTokenResponseClient;
}
@Bean
public RestTemplate restTemplate() {
// ...
}
}
事实上,我们甚至可以通过发布相应的 OAuth2AccessTokenResponseClient bean 来选择扩展授权类型 jwt-bearer
@Bean
public DefaultJwtBearerTokenResponseClient jwtBearerAccessTokenResponseClient() {
DefaultJwtBearerTokenResponseClient accessTokenResponseClient =
new DefaultJwtBearerTokenResponseClient();
accessTokenResponseClient.setRestOperations(restTemplate());
return accessTokenResponseClient;
}
注意: 请注意,我们不需要发布类型为 OAuth2AuthorizedClientManager 的 bean。Spring Security 现在将为我们发布一个。
我们现在可以通过依赖注入使用完全配置的 OAuth2AuthorizedClientManager,如下所示
@RestController
class MyController {
private final OAuth2AuthorizedClientManager authorizedClientManager;
MyController(OAuth2AuthorizedClientManager authorizedClientManager) {
this.authorizedClientManager = authorizedClientManager;
}
// ...
}
用例:我想启用扩展授权类型
另一个用例涉及启用和/或配置扩展授权类型。例如,Spring Security 支持 jwt-bearer 授权类型,但默认不启用它。
以前,我们必须发布一个类型为 OAuth2AuthorizedClientManager 的 bean,并确保我们也重新启用了默认授权类型,这需要一些冗长的配置。以下是配置可能的样子
@Configuration
public class SecurityConfig {
@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
ClientRegistrationRepository clientRegistrationRepository,
OAuth2AuthorizedClientRepository authorizedClientRepository) {
OAuth2AuthorizedClientProvider authorizedClientProvider =
OAuth2AuthorizedClientProviderBuilder.builder()
.authorizationCode()
.refreshToken()
.clientCredentials()
.password()
.provider(new JwtBearerOAuth2AuthorizedClientProvider())
.build();
DefaultOAuth2AuthorizedClientManager authorizedClientManager =
new DefaultOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository);
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
return authorizedClientManager;
}
}
在最新的里程碑中,我们可以简单地为一个或多个 OAuth2AuthorizedClientProvider 发布一个 bean,它们将自动被拾取。现在可以将此配置简化为
@Configuration
public class SecurityConfig {
@Bean
public OAuth2AuthorizedClientProvider jwtBearer() {
return new JwtBearerOAuth2AuthorizedClientProvider();
}
}
注意: 任何已发布的非 Spring Security 提供的 OAuth2AuthorizedClientProvider 类型的 bean 也将被拾取,并在默认授权类型之后应用。
这也提供了自定义现有授权类型的机会,而无需重新定义默认值。例如,如果我们要自定义 client_credentials 授权的 OAuth2AuthorizedClientProvider 的时钟偏差,我们可以简单地发布一个 bean,如下所示
@Configuration
public class SecurityConfig {
@Bean
public OAuth2AuthorizedClientProvider clientCredentials() {
ClientCredentialsOAuth2AuthorizedClientProvider authorizedClientProvider =
new ClientCredentialsOAuth2AuthorizedClientProvider();
authorizedClientProvider.setClockSkew(Duration.ofMinutes(5));
return authorizedClientProvider;
}
}
结论
我希望您和我一样对 Spring Security 中通过简单发布 @Bean 来配置 OAuth2 客户端组件的简化方法感到兴奋。如果您想参与,请尝试使用里程碑版本并 给我们反馈!我们将继续倾听并寻找机会,以简化 Spring Security 用户的配置。