跳到主要内容

QWen Max 中英对照 OAuth2 Authorization Grants #

授权许可支持

本节描述了 Spring Security 对授权许可的支持。

授权码

备注

请参阅 OAuth 2.0 授权框架以获取有关 授权码 授权的更多详细信息。

获取授权

备注

请参阅 授权请求/响应 协议流程以了解授权码许可。

发起授权请求

OAuth2AuthorizationRequestRedirectWebFilter 使用 ServerOAuth2AuthorizationRequestResolver 来解析一个 OAuth2AuthorizationRequest,并通过将终端用户的用户代理重定向到授权服务器的授权端点来启动授权码授予流程。

ServerOAuth2AuthorizationRequestResolver 的主要作用是从提供的 web 请求中解析出 OAuth2AuthorizationRequest。默认实现 DefaultServerOAuth2AuthorizationRequestResolver 会匹配(默认)路径 /oauth2/authorization/{registrationId},从中提取 registrationId,并使用它为关联的 ClientRegistration 构建 OAuth2AuthorizationRequest

给定以下用于OAuth 2.0客户端注册的Spring Boot属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/authorized/okta"
            scope: read, write
        provider:
          okta:
            authorization-uri: https://dev-1234.oktapreview.com/oauth2/v1/authorize
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token
yaml

带有基础路径 /oauth2/authorization/okta 的请求将由 OAuth2AuthorizationRequestRedirectWebFilter 触发授权请求重定向,最终启动授权码授予流程。

备注

AuthorizationCodeReactiveOAuth2AuthorizedClientProviderReactiveOAuth2AuthorizedClientProvider 的一个实现,用于授权码授权类型,它还通过 OAuth2AuthorizationRequestRedirectWebFilter 发起授权请求重定向。

如果 OAuth 2.0 客户端是公共客户端,则按如下方式配置 OAuth 2.0 客户端注册:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-authentication-method: none
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/authorized/okta"
            # ...
yaml

公共客户端支持使用Proof Key for Code Exchange (PKCE)。如果客户端运行在不受信任的环境中(例如,原生应用程序或基于 Web 浏览器的应用程序),因此无法维护其凭据的机密性,在满足以下条件时将自动使用 PKCE:

  1. client-secret 被省略(或为空)

  2. client-authentication-method 设置为 "none" (ClientAuthenticationMethod.NONE

提示

如果 OAuth 2.0 提供程序支持保密客户端的 PKCE,您可以(可选地)使用 DefaultServerOAuth2AuthorizationRequestResolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce()) 进行配置。

DefaultServerOAuth2AuthorizationRequestResolver 还支持使用 UriComponentsBuilderredirect-uri 使用 URI 模板变量。

以下配置使用了所有支持的 URI 模板变量:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            # ...
            redirect-uri: "{baseScheme}://{baseHost}{basePort}{basePath}/authorized/{registrationId}"
            # ...
yaml
备注

{baseUrl} 解析为 {baseScheme}://{baseHost}{basePort}{basePath}

使用 URI 模板变量配置 redirect-uri 在 OAuth 2.0 客户端运行在 代理服务器 后面时特别有用。这确保了在扩展 redirect-uri 时使用 X-Forwarded-* 头。

自定义授权请求

ServerOAuth2AuthorizationRequestResolver 的主要用例之一是能够自定义授权请求,添加超出 OAuth 2.0 授权框架中定义的标准参数之外的其他参数。

例如,OpenID Connect 为 授权码流程 定义了额外的 OAuth 2.0 请求参数,这些参数扩展自 OAuth 2.0 授权框架 中定义的标准参数。其中一个扩展参数是 prompt 参数。

备注

prompt 参数是可选的。空格分隔、区分大小写的 ASCII 字符串值列表,指定授权服务器是否提示最终用户重新认证和同意。定义的值有:noneloginconsentselect_account

以下示例展示了如何使用 Consumer<OAuth2AuthorizationRequest.Builder> 配置 DefaultServerOAuth2AuthorizationRequestResolver,通过包含请求参数 prompt=consent 来自定义 oauth2Login() 的授权请求。

@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {

    @Autowired
    private ReactiveClientRegistrationRepository clientRegistrationRepository;

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http
            .authorizeExchange(authorize -> authorize
                .anyExchange().authenticated()
            )
            .oauth2Login(oauth2 -> oauth2
                .authorizationRequestResolver(
                    authorizationRequestResolver(this.clientRegistrationRepository)
                )
            );
        return http.build();
    }

    private ServerOAuth2AuthorizationRequestResolver authorizationRequestResolver(
            ReactiveClientRegistrationRepository clientRegistrationRepository) {

        DefaultServerOAuth2AuthorizationRequestResolver authorizationRequestResolver =
                new DefaultServerOAuth2AuthorizationRequestResolver(
                        clientRegistrationRepository);
        authorizationRequestResolver.setAuthorizationRequestCustomizer(
                authorizationRequestCustomizer());

        return  authorizationRequestResolver;
    }

    private Consumer<OAuth2AuthorizationRequest.Builder> authorizationRequestCustomizer() {
        return customizer -> customizer
                    .additionalParameters(params -> params.put("prompt", "consent"));
    }
}
java

对于简单的使用场景,如果特定提供者所需的额外请求参数始终相同,可以直接在 authorization-uri 属性中添加。

例如,如果提供商 okta 的请求参数 prompt 的值始终为 consent,则只需按如下方式配置:

spring:
  security:
    oauth2:
      client:
        provider:
          okta:
            authorization-uri: https://dev-1234.oktapreview.com/oauth2/v1/authorize?prompt=consent
yaml

上述示例展示了在标准参数基础上添加自定义参数的常见用例。或者,如果你的需求更高级,可以通过简单地覆盖 OAuth2AuthorizationRequest.authorizationRequestUri 属性来完全控制构建授权请求 URI。

提示

OAuth2AuthorizationRequest.Builder.build() 构建了 OAuth2AuthorizationRequest.authorizationRequestUri,它代表了授权请求 URI,包括使用 application/x-www-form-urlencoded 格式的全部查询参数。

以下示例显示了前面示例中 authorizationRequestCustomizer() 的一个变体,并且改为覆盖 OAuth2AuthorizationRequest.authorizationRequestUri 属性。

private Consumer<OAuth2AuthorizationRequest.Builder> authorizationRequestCustomizer() {
    return customizer -> customizer
            .authorizationRequestUri(uriBuilder -> uriBuilder
                    .queryParam("prompt", "consent").build());
}
java

存储授权请求

ServerAuthorizationRequestRepository 负责在授权请求发起时到接收到授权响应(回调)期间,持久化 OAuth2AuthorizationRequest

提示

OAuth2AuthorizationRequest 用于关联和验证授权响应。

ServerAuthorizationRequestRepository 的默认实现是 WebSessionOAuth2ServerAuthorizationRequestRepository,它将 OAuth2AuthorizationRequest 存储在 WebSession 中。

如果你有一个自定义的 ServerAuthorizationRequestRepository 实现,你可以按照下面的例子进行配置:

@Configuration
@EnableWebFluxSecurity
public class OAuth2ClientSecurityConfig {

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http
            .oauth2Client(oauth2 -> oauth2
                .authorizationRequestRepository(this.authorizationRequestRepository())
                // ...
            );
        return http.build();
    }
}
java

请求访问令牌

备注

请参考 访问令牌请求/响应 协议流程以了解授权码授予。

ReactiveOAuth2AccessTokenResponseClient 对于授权码模式的默认实现是 WebClientReactiveAuthorizationCodeTokenResponseClient,它使用 WebClient 在授权服务器的令牌端点交换授权码以获取访问令牌。

要自定义 WebClientReactiveAuthorizationCodeTokenResponseClient,只需提供一个 bean,如以下示例所示,它将被默认的 ReactiveOAuth2AuthorizedClientManager 自动识别:

@Bean
public WebClientReactiveAuthorizationCodeTokenResponseClient tokenResponseClient() {
    // 自定义配置
}
java
@Bean
public ReactiveOAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> accessTokenResponseClient() {
    WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
        new WebClientReactiveAuthorizationCodeTokenResponseClient();
    // ...
    return accessTokenResponseClient;
}
java

WebClientReactiveAuthorizationCodeTokenResponseClient 非常灵活,提供了多种选项来自定义授权码授权的 OAuth 2.0 访问令牌请求和响应。请选择以下用例以了解更多信息:

自定义访问令牌请求

WebClientReactiveAuthorizationCodeTokenResponseClient 提供了用于自定义令牌请求的 HTTP 头和请求参数的钩子。

自定义请求头

有两种方法可以自定义 HTTP 标头:

  • 通过调用 addHeadersConverter() 添加额外的头部

  • 通过调用 setHeadersConverter() 完全自定义头部

你可以使用 addHeadersConverter() 包含额外的头部信息,而不会影响添加到每个请求的默认头部信息。以下示例在 registrationIdspring 时,向请求中添加一个 User-Agent 头部信息:

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    HttpHeaders headers = new HttpHeaders();
    if (clientRegistration.getRegistrationId().equals("spring")) {
        headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
    }
    return headers;
});
java

你可以通过重用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义标头。以下示例重用了 DefaultOAuth2TokenRequestHeadersConverter 并禁用了 encodeClientCredentials,以便 HTTP Basic 凭证不再使用 application/x-www-form-urlencoded 进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
    new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);
java

自定义请求参数

有三种自定义请求参数的选项:

  • 通过调用 addParametersConverter() 添加额外的参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 不能完全自定义参数,因为它要求用户提供所有默认参数。默认参数总是会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略。

你可以使用 addParametersConverter() 添加额外的参数,而不会影响添加到每个请求的默认参数。以下示例在 registrationIdkeycloak 时向请求添加一个 audience 参数:

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
    if (clientRegistration.getRegistrationId().equals("keycloak")) {
        parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
    }
    return parameters;
});
java

你可以使用 setParametersConverter() 覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
    if (clientRegistration.getRegistrationId().equals("okta")) {
        parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
    }
    return parameters;
});
java

您可以使用 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例在请求中存在 client_assertion 参数时省略 client_id 参数:

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
    if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
        parameters.remove(OAuth2ParameterNames.CLIENT_ID);
    }
});
java

自定义访问令牌响应

WebClientReactiveAuthorizationCodeTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应的钩子。

自定义响应参数

你可以通过调用 setBodyExtractor() 来自定义 Token 响应参数到 OAuth2AccessTokenResponse 的转换。OAuth2BodyExtractors.oauth2AccessTokenResponse() 提供的默认实现会解析响应并相应地处理错误。

以下示例提供了一个将 Token 响应参数转换为 OAuth2AccessTokenResponse 的自定义起点:

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();

BodyExtractor<Mono<Map<String, Object>>, ReactiveHttpInputMessage> bodyExtractor =
    BodyExtractors.toMono(new ParameterizedTypeReference<>() {});
accessTokenResponseClient.setBodyExtractor((inputMessage, context) ->
    bodyExtractor.extract(inputMessage, context)
        .map(parameters -> OAuth2AccessTokenResponse.withToken("custom-token")
            // ...
            .build()
        )
);
java
警告

当提供自定义的 BodyExtractor 时,您需要负责根据响应的参数检测并将 OAuth 2.0 错误响应转换为带有 OAuth2ErrorMono.error()

自定义 WebClient

或者,如果你的需求更高级,你可以通过向 setWebClient() 提供一个预配置的 WebClient 来完全控制请求和/或响应,如下例所示:

WebClient webClient = WebClient.builder()
    // ...
    .build();

WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setWebClient(webClient);
java

使用 DSL 进行自定义

无论你是自定义 WebClientReactiveAuthorizationCodeTokenResponseClient 还是提供自己的 ReactiveOAuth2AccessTokenResponseClient 实现,都可以使用 DSL 进行配置(作为发布 bean 的替代方案),如下例所示:

@Configuration
@EnableWebFluxSecurity
public class OAuth2ClientSecurityConfig {

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http
            .oauth2Client(oauth2 -> oauth2
                .authenticationManager(this.authorizationCodeAuthenticationManager())
                // ...
            );
        return http.build();
    }

    private ReactiveAuthenticationManager authorizationCodeAuthenticationManager() {
        WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
                new WebClientReactiveAuthorizationCodeTokenResponseClient();
        // ...

        return new OAuth2AuthorizationCodeReactiveAuthenticationManager(accessTokenResponseClient);
    }
}
java

刷新令牌

备注

有关刷新令牌的更多详细信息,请参阅 OAuth 2.0 授权框架。

刷新访问令牌

备注

请参考访问令牌请求/响应协议流程中的刷新令牌授权。

ReactiveOAuth2AccessTokenResponseClient 的默认实现用于刷新令牌授权的是 WebClientReactiveRefreshTokenTokenResponseClient,它在授权服务器的令牌端点刷新访问令牌时使用 WebClient

要自定义 WebClientReactiveRefreshTokenTokenResponseClient,只需提供一个 bean,如下例所示,它将被默认的 ReactiveOAuth2AuthorizedClientManager 自动识别:

@Bean
public WebClientReactiveRefreshTokenTokenResponseClient webClientReactiveRefreshTokenTokenResponseClient() {
    return new WebClientReactiveRefreshTokenTokenResponseClient();
}
java
@Bean
public ReactiveOAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> accessTokenResponseClient() {
    WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
        new WebClientReactiveRefreshTokenTokenResponseClient();
    // ...
    return accessTokenResponseClient;
}
java

WebClientReactiveRefreshTokenTokenResponseClient 非常灵活,提供了多种选项来自定义用于刷新令牌授权的 OAuth 2.0 访问令牌请求和响应。请选择以下用例以了解更多信息:

自定义访问令牌请求

WebClientReactiveRefreshTokenTokenResponseClient 提供了用于自定义令牌请求的 HTTP 头和请求参数的钩子。

自定义请求头

有两种方法可以自定义 HTTP 标头:

  • 通过调用 addHeadersConverter() 添加额外的标头

  • 通过调用 setHeadersConverter() 完全自定义标头

你可以使用 addHeadersConverter() 添加额外的头部信息,而不会影响添加到每个请求的默认头部信息。以下示例在 registrationIdspring 时,向请求中添加一个 User-Agent 头部:

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    HttpHeaders headers = new HttpHeaders();
    if (clientRegistration.getRegistrationId().equals("spring")) {
        headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
    }
    return headers;
});
java

你可以通过重用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义头部。以下示例重用了 DefaultOAuth2TokenRequestHeadersConverter 并禁用了 encodeClientCredentials,以便 HTTP Basic 凭证不再使用 application/x-www-form-urlencoded 进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
    new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);
java

自定义请求参数

有三种自定义请求参数的选项:

  • 通过调用 addParametersConverter() 添加额外的参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 不能完全自定义参数,因为它要求用户提供所有默认参数。默认参数总是会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略。

您可以使用 addParametersConverter() 添加额外的参数,而不会影响添加到每个请求的默认参数。以下示例在 registrationIdkeycloak 时向请求添加一个 audience 参数:

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
    if (clientRegistration.getRegistrationId().equals("keycloak")) {
        parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
    }
    return parameters;
});
java

您可以使用 setParametersConverter() 覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
    if (clientRegistration.getRegistrationId().equals("okta")) {
        parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
    }
    return parameters;
});
java

您可以使用 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例在请求中存在 client_assertion 参数时省略 client_id 参数:

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
    if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
        parameters.remove(OAuth2ParameterNames.CLIENT_ID);
    }
});
java

自定义访问令牌响应

WebClientReactiveRefreshTokenTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应的钩子。

自定义响应参数

你可以通过调用 setBodyExtractor() 来自定义 Token 响应参数到 OAuth2AccessTokenResponse 的转换。OAuth2BodyExtractors.oauth2AccessTokenResponse() 提供的默认实现会解析响应并相应地处理错误。

以下示例提供了一个自定义 Token 响应参数转换为 OAuth2AccessTokenResponse 的起点:

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();

BodyExtractor<Mono<Map<String, Object>>, ReactiveHttpInputMessage> bodyExtractor =
    BodyExtractors.toMono(new ParameterizedTypeReference<>() {});
accessTokenResponseClient.setBodyExtractor((inputMessage, context) ->
    bodyExtractor.extract(inputMessage, context)
        .map(parameters -> OAuth2AccessTokenResponse.withToken("custom-token")
            // ...
            .build()
        )
);
java
警告

当提供自定义的 BodyExtractor 时,您需要负责根据响应的参数检测并将 OAuth 2.0 错误响应转换为带有 OAuth2ErrorMono.error()

自定义 WebClient

或者,如果你的需求更高级,你可以通过向 setWebClient() 提供一个预配置的 WebClient 来完全控制请求和/或响应,如下例所示:

WebClient webClient = WebClient.builder()
    // ...
    .build();

WebClientReactiveRefreshTokenTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveRefreshTokenTokenResponseClient();
accessTokenResponseClient.setWebClient(webClient);
java

使用构建器进行自定义

无论你是自定义 WebClientReactiveRefreshTokenTokenResponseClient,还是提供自己的 ReactiveOAuth2AccessTokenResponseClient 实现,都可以使用 ReactiveOAuth2AuthorizedClientProviderBuilder 进行配置(作为发布 bean 的替代方法),如下所示:

// Customize
ReactiveOAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> refreshTokenTokenResponseClient = ...

ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
        ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                .authorizationCode()
                .refreshToken(configurer -> configurer.accessTokenResponseClient(refreshTokenTokenResponseClient))
                .build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
java
备注

ReactiveOAuth2AuthorizedClientProviderBuilder.builder().refreshToken() 配置了一个 RefreshTokenReactiveOAuth2AuthorizedClientProvider,这是用于刷新令牌授权的 ReactiveOAuth2AuthorizedClientProvider 的一个实现。

OAuth2RefreshToken 可以选择性地在 authorization_codepassword 授权类型的访问令牌响应中返回。如果 OAuth2AuthorizedClient.getRefreshToken() 可用,并且 OAuth2AuthorizedClient.getAccessToken() 已过期,它将由 RefreshTokenReactiveOAuth2AuthorizedClientProvider 自动刷新。

客户端凭证

备注

有关客户端凭据授权的更多详细信息,请参阅 OAuth 2.0 授权框架。

请求访问令牌

备注

请参考 访问令牌请求/响应 协议流程中的客户端凭证授权。

ReactiveOAuth2AccessTokenResponseClient 的默认实现对于客户端凭证授权是 WebClientReactiveClientCredentialsTokenResponseClient,它在向授权服务器的令牌端点请求访问令牌时使用 WebClient

要自定义 WebClientReactiveClientCredentialsTokenResponseClient,只需提供一个 bean,如以下示例所示,它将被默认的 ReactiveOAuth2AuthorizedClientManager 自动识别:

@Bean
public WebClientReactiveClientCredentialsTokenResponseClient webClientReactiveClientCredentialsTokenResponseClient() {
    WebClientReactiveClientCredentialsTokenResponseClient client = new WebClientReactiveClientCredentialsTokenResponseClient();
    // 自定义配置
    return client;
}
java
@Bean
public ReactiveOAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> accessTokenResponseClient() {
    WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
        new WebClientReactiveClientCredentialsTokenResponseClient();
    // ...
    return accessTokenResponseClient;
}
java

WebClientReactiveClientCredentialsTokenResponseClient 非常灵活,并提供了多种选项来自定义客户端凭证授权的 OAuth 2.0 访问令牌请求和响应。请选择以下用例以了解更多信息:

自定义访问令牌请求

WebClientReactiveClientCredentialsTokenResponseClient 提供了用于自定义 Token 请求的 HTTP 头和请求参数的钩子。

自定义请求头

有两种方法可以自定义 HTTP 标头:

  • 通过调用 addHeadersConverter() 添加额外的头部

  • 通过调用 setHeadersConverter() 完全自定义头部

你可以使用 addHeadersConverter() 包含额外的头部信息,而不会影响添加到每个请求的默认头部信息。下面的示例在 registrationIdspring 时,向请求中添加一个 User-Agent 头部信息:

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    HttpHeaders headers = new HttpHeaders();
    if (clientRegistration.getRegistrationId().equals("spring")) {
        headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
    }
    return headers;
});
java

你可以通过重用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义标头。以下示例重用了 DefaultOAuth2TokenRequestHeadersConverter 并禁用了 encodeClientCredentials,以便 HTTP Basic 凭证不再使用 application/x-www-form-urlencoded 进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
    new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);
java

自定义请求参数

有三种自定义请求参数的选项:

  • 通过调用 addParametersConverter() 添加额外的参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 不能完全自定义参数,因为它要求用户提供所有默认参数。默认参数总是会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略。

您可以使用 addParametersConverter() 添加额外的参数,而不会影响添加到每个请求的默认参数。以下示例在 registrationIdkeycloak 时向请求添加一个 audience 参数:

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
    if (clientRegistration.getRegistrationId().equals("keycloak")) {
        parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
    }
    return parameters;
});
java

你可以使用 setParametersConverter() 覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
    if (clientRegistration.getRegistrationId().equals("okta")) {
        parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
    }
    return parameters;
});
java

您可以使用 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例在请求中存在 client_assertion 参数时省略 client_id 参数:

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
    if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
        parameters.remove(OAuth2ParameterNames.CLIENT_ID);
    }
});
java

自定义访问令牌响应

WebClientReactiveClientCredentialsTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应的钩子。

自定义响应参数

你可以通过调用 setBodyExtractor() 来自定义将 Token 响应参数转换为 OAuth2AccessTokenResponse。由 OAuth2BodyExtractors.oauth2AccessTokenResponse() 提供的默认实现会解析响应并相应地处理错误。

以下示例提供了一个自定义 Token 响应参数转换为 OAuth2AccessTokenResponse 的起点:

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();

BodyExtractor<Mono<Map<String, Object>>, ReactiveHttpInputMessage> bodyExtractor =
    BodyExtractors.toMono(new ParameterizedTypeReference<>() {});
accessTokenResponseClient.setBodyExtractor((inputMessage, context) ->
    bodyExtractor.extract(inputMessage, context)
        .map(parameters -> OAuth2AccessTokenResponse.withToken("custom-token")
            // ...
            .build()
        )
);
java
警告

当你提供自定义的 BodyExtractor 时,你需要负责根据响应的参数检测并将其转换为带有 OAuth2ErrorMono.error()

自定义 WebClient

或者,如果你的需求更高级,你可以通过向 setWebClient() 提供一个预配置的 WebClient 来完全控制请求和/或响应,如下例所示:

WebClient webClient = WebClient.builder()
    // ...
    .build();

WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveClientCredentialsTokenResponseClient();
accessTokenResponseClient.setWebClient(webClient);
java

使用构建器进行自定义

无论你是自定义 WebClientReactiveClientCredentialsTokenResponseClient 还是提供自己的 ReactiveOAuth2AccessTokenResponseClient 实现,都可以使用 ReactiveOAuth2AuthorizedClientProviderBuilder 来配置它(作为发布一个 bean 的替代方案),如下所示:

// Customize
ReactiveOAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> clientCredentialsTokenResponseClient = ...

ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
        ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                .clientCredentials(configurer -> configurer.accessTokenResponseClient(clientCredentialsTokenResponseClient))
                .build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
java
备注

ReactiveOAuth2AuthorizedClientProviderBuilder.builder().clientCredentials() 配置了一个 ClientCredentialsReactiveOAuth2AuthorizedClientProvider,这是用于客户端凭证授权模式的 ReactiveOAuth2AuthorizedClientProvider 的一个实现。

使用访问令牌

给定以下用于OAuth 2.0客户端注册的Spring Boot属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: client_credentials
            scope: read, write
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token
yaml

…​和 ReactiveOAuth2AuthorizedClientManager @Bean

@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
        ReactiveClientRegistrationRepository clientRegistrationRepository,
        ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {

    ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
            ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                    .clientCredentials()
                    .build();

    DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
            new DefaultReactiveOAuth2AuthorizedClientManager(
                    clientRegistrationRepository, authorizedClientRepository);
    authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

    return authorizedClientManager;
}
java

您可以按如下方式获取 OAuth2AccessToken

@Controller
public class OAuth2ClientController {

    @Autowired
    private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;

    @GetMapping("/")
    public Mono<String> index(Authentication authentication, ServerWebExchange exchange) {
        OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
                .principal(authentication)
                .attribute(ServerWebExchange.class.getName(), exchange)
                .build();

        return this.authorizedClientManager.authorize(authorizeRequest)
                .map(OAuth2AuthorizedClient::getAccessToken)
                // ...
                .thenReturn("index");
    }
}
java
备注

ServerWebExchange 是一个可选属性。如果未提供,它将通过键 ServerWebExchange.classReactor 的上下文 中获取。

资源所有者密码凭证

备注

请参阅 OAuth 2.0 授权框架以获取有关资源所有者密码凭证授权的更多详细信息。

请求访问令牌

备注

请参考 访问令牌请求/响应 协议流程,了解资源所有者密码凭证授权。

ReactiveOAuth2AccessTokenResponseClient 的默认实现是 WebClientReactivePasswordTokenResponseClient,它在向授权服务器的令牌端点请求访问令牌时使用 WebClient

警告

WebClientReactivePasswordTokenResponseClient 类和对 Resource Owner Password Credentials 授权的支持已被弃用。此部分将在 Spring Security 7 中被移除。

要自定义 WebClientReactivePasswordTokenResponseClient,只需提供一个 bean,如下例所示,它将被默认的 ReactiveOAuth2AuthorizedClientManager 自动识别:

@Bean
public WebClientReactivePasswordTokenResponseClient webClientReactivePasswordTokenResponseClient() {
    // 自定义配置
    WebClientReactivePasswordTokenResponseClient client = new WebClientReactivePasswordTokenResponseClient();
    // 进行自定义设置
    return client;
}
java
@Bean
public ReactiveOAuth2AccessTokenResponseClient<OAuth2PasswordGrantRequest> accessTokenResponseClient() {
    WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
        new WebClientReactivePasswordTokenResponseClient();
    // ...
    return accessTokenResponseClient;
}
java

WebClientReactivePasswordTokenResponseClient 非常灵活,提供了多种选项来自定义用于密码授权的 OAuth 2.0 访问令牌请求和响应。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

WebClientReactivePasswordTokenResponseClient 提供了用于自定义令牌请求的 HTTP 头和请求参数的钩子。

自定义请求头

有两种自定义 HTTP 标头的选项:

  • 通过调用 addHeadersConverter() 添加额外的头部

  • 通过调用 setHeadersConverter() 完全自定义头部

您可以使用 addHeadersConverter() 包含其他标头,而不会影响添加到每个请求的默认标头。以下示例在 registrationIdspring 时向请求添加 User-Agent 标头:

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    HttpHeaders headers = new HttpHeaders();
    if (clientRegistration.getRegistrationId().equals("spring")) {
        headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
    }
    return headers;
});
java

你可以通过重用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义标头。以下示例重用了 DefaultOAuth2TokenRequestHeadersConverter 并禁用了 encodeClientCredentials,以便 HTTP Basic 凭证不再使用 application/x-www-form-urlencoded 进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
    new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);
java

自定义请求参数

有三种自定义请求参数的选项:

  • 通过调用 addParametersConverter() 添加额外的参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 不能完全自定义参数,因为它要求用户提供所有默认参数。默认参数总是会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略。

您可以使用 addParametersConverter() 添加额外的参数,而不会影响添加到每个请求的默认参数。以下示例在 registrationIdkeycloak 时向请求添加一个 audience 参数:

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
    if (clientRegistration.getRegistrationId().equals("keycloak")) {
        parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
    }
    return parameters;
});
java

你可以使用 setParametersConverter() 覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
    if (clientRegistration.getRegistrationId().equals("okta")) {
        parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
    }
    return parameters;
});
java

您可以使用 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例在请求中存在 client_assertion 参数时省略 client_id 参数:

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
    if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
        parameters.remove(OAuth2ParameterNames.CLIENT_ID);
    }
});
java

自定义访问令牌响应

WebClientReactivePasswordTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应的钩子。

自定义响应参数

你可以通过调用 setBodyExtractor() 来自定义 Token 响应参数到 OAuth2AccessTokenResponse 的转换。OAuth2BodyExtractors.oauth2AccessTokenResponse() 提供的默认实现会解析响应并相应地处理错误。

以下示例提供了一个自定义 Token 响应参数转换为 OAuth2AccessTokenResponse 的起点:

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();

BodyExtractor<Mono<Map<String, Object>>, ReactiveHttpInputMessage> bodyExtractor =
    BodyExtractors.toMono(new ParameterizedTypeReference<>() {});
accessTokenResponseClient.setBodyExtractor((inputMessage, context) ->
    bodyExtractor.extract(inputMessage, context)
        .map(parameters -> OAuth2AccessTokenResponse.withToken("custom-token")
            // ...
            .build()
        )
);
java
警告

当提供自定义的 BodyExtractor 时,您需要负责根据响应的参数检测并将 OAuth 2.0 错误响应转换为带有 OAuth2ErrorMono.error()

自定义 WebClient

或者,如果你的需求更高级,你可以通过向 setWebClient() 提供一个预配置的 WebClient 来完全控制请求和/或响应,如下例所示:

WebClient webClient = WebClient.builder()
    // ...
    .build();

WebClientReactivePasswordTokenResponseClient accessTokenResponseClient =
    new WebClientReactivePasswordTokenResponseClient();
accessTokenResponseClient.setWebClient(webClient);
java

使用 Builder 进行自定义

无论你是自定义 WebClientReactivePasswordTokenResponseClient 还是提供自己的 ReactiveOAuth2AccessTokenResponseClient 实现,都可以使用 ReactiveOAuth2AuthorizedClientProviderBuilder 来配置它(作为发布一个 bean 的替代方案),如下所示:

// Customize
ReactiveOAuth2AccessTokenResponseClient<OAuth2PasswordGrantRequest> passwordTokenResponseClient = ...

ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
        ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                .password(configurer -> configurer.accessTokenResponseClient(passwordTokenResponseClient))
                .refreshToken()
                .build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
java
备注

ReactiveOAuth2AuthorizedClientProviderBuilder.builder().password() 配置了一个 PasswordReactiveOAuth2AuthorizedClientProvider,这是针对 Resource Owner Password Credentials 授权类型的 ReactiveOAuth2AuthorizedClientProvider 的实现。

使用访问令牌

给定以下用于OAuth 2.0客户端注册的Spring Boot属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: password
            scope: read, write
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token
yaml

…​和 ReactiveOAuth2AuthorizedClientManager @Bean

@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
        ReactiveClientRegistrationRepository clientRegistrationRepository,
        ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {

    ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
            ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                    .password()
                    .refreshToken()
                    .build();

    DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
            new DefaultReactiveOAuth2AuthorizedClientManager(
                    clientRegistrationRepository, authorizedClientRepository);
    authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

    // Assuming the `username` and `password` are supplied as `ServerHttpRequest` parameters,
    // map the `ServerHttpRequest` parameters to `OAuth2AuthorizationContext.getAttributes()`
    authorizedClientManager.setContextAttributesMapper(contextAttributesMapper());

    return authorizedClientManager;
}

private Function<OAuth2AuthorizeRequest, Mono<Map<String, Object>>> contextAttributesMapper() {
    return authorizeRequest -> {
        Map<String, Object> contextAttributes = Collections.emptyMap();
        ServerWebExchange exchange = authorizeRequest.getAttribute(ServerWebExchange.class.getName());
        ServerHttpRequest request = exchange.getRequest();
        String username = request.getQueryParams().getFirst(OAuth2ParameterNames.USERNAME);
        String password = request.getQueryParams().getFirst(OAuth2ParameterNames.PASSWORD);
        if (StringUtils.hasText(username) && StringUtils.hasText(password)) {
            contextAttributes = new HashMap<>();

            // `PasswordReactiveOAuth2AuthorizedClientProvider` requires both attributes
            contextAttributes.put(OAuth2AuthorizationContext.USERNAME_ATTRIBUTE_NAME, username);
            contextAttributes.put(OAuth2AuthorizationContext.PASSWORD_ATTRIBUTE_NAME, password);
        }
        return Mono.just(contextAttributes);
    };
}
java

您可以按照以下方式获取 OAuth2AccessToken

@Controller
public class OAuth2ClientController {

    @Autowired
    private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;

    @GetMapping("/")
    public Mono<String> index(Authentication authentication, ServerWebExchange exchange) {
        OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
                .principal(authentication)
                .attribute(ServerWebExchange.class.getName(), exchange)
                .build();

        return this.authorizedClientManager.authorize(authorizeRequest)
                .map(OAuth2AuthorizedClient::getAccessToken)
                // ...
                .thenReturn("index");
    }
}
java
备注

ServerWebExchange 是一个可选属性。如果未提供,它将通过键 ServerWebExchange.classReactor 的上下文 中获取。

JWT Bearer

备注

请参阅适用于OAuth 2.0客户端认证和授权许可的JSON Web Token (JWT) Profile,以获取有关JWT持有者许可的更多详细信息。

请求访问令牌

备注

请参阅 访问令牌请求/响应 协议流程,了解 JWT 承载者授权。

ReactiveOAuth2AccessTokenResponseClient 的 JWT Bearer 授权的默认实现是 WebClientReactiveJwtBearerTokenResponseClient,它在向授权服务器的令牌端点请求访问令牌时使用 WebClient

要自定义 WebClientReactiveJwtBearerTokenResponseClient,只需提供一个 bean,如以下示例所示,它将被默认的 ReactiveOAuth2AuthorizedClientManager 自动识别:

@Bean
public WebClientReactiveJwtBearerTokenResponseClient webClientReactiveJwtBearerTokenResponseClient() {
    // 自定义配置
    WebClientReactiveJwtBearerTokenResponseClient client = new WebClientReactiveJwtBearerTokenResponseClient();
    // 进行自定义设置
    return client;
}
java
@Bean
public ReactiveOAuth2AccessTokenResponseClient<JwtBearerGrantRequest> accessTokenResponseClient() {
    WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
        new WebClientReactiveJwtBearerTokenResponseClient();
    // ...
    return accessTokenResponseClient;
}
java

WebClientReactiveJwtBearerTokenResponseClient 非常灵活,并提供了多种选项来自定义 JWT Bearer 授权的 OAuth 2.0 访问令牌请求和响应。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

WebClientReactiveJwtBearerTokenResponseClient 提供了用于自定义令牌请求的 HTTP 头和请求参数的钩子。

自定义请求头

有两种方法可以自定义 HTTP 标头:

  • 通过调用 addHeadersConverter() 添加额外的标头

  • 通过调用 setHeadersConverter() 完全自定义标头

你可以使用 addHeadersConverter() 包含额外的头部信息,而不会影响添加到每个请求的默认头部信息。以下示例在 registrationIdspring 时,向请求中添加一个 User-Agent 头部信息:

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    HttpHeaders headers = new HttpHeaders();
    if (clientRegistration.getRegistrationId().equals("spring")) {
        headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
    }
    return headers;
});
java

您可以完全自定义标头,方法是重用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现。以下示例重用了 DefaultOAuth2TokenRequestHeadersConverter 并禁用了 encodeClientCredentials,以便 HTTP Basic 凭证不再使用 application/x-www-form-urlencoded 进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
    new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);
java

自定义请求参数

有三种自定义请求参数的选项:

  • 通过调用 addParametersConverter() 添加额外的参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 不能完全自定义参数,因为它要求用户提供所有默认参数。默认参数总是会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略。

你可以使用 addParametersConverter() 添加额外的参数,而不会影响添加到每个请求的默认参数。以下示例在 registrationIdkeycloak 时向请求添加一个 audience 参数:

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
    if (clientRegistration.getRegistrationId().equals("keycloak")) {
        parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
    }
    return parameters;
});
java

你可以使用 setParametersConverter() 覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
    if (clientRegistration.getRegistrationId().equals("okta")) {
        parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
    }
    return parameters;
});
java

您可以使用 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例在请求中存在 client_assertion 参数时省略 client_id 参数:

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
    if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
        parameters.remove(OAuth2ParameterNames.CLIENT_ID);
    }
});
java

自定义访问令牌响应

WebClientReactiveJwtBearerTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应的钩子。

自定义响应参数

你可以通过调用 setBodyExtractor() 来自定义将 Token 响应参数转换为 OAuth2AccessTokenResponseOAuth2BodyExtractors.oauth2AccessTokenResponse() 提供的默认实现会解析响应并相应地处理错误。

以下示例提供了一个自定义 Token 响应参数转换为 OAuth2AccessTokenResponse 的起点:

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();

BodyExtractor<Mono<Map<String, Object>>, ReactiveHttpInputMessage> bodyExtractor =
    BodyExtractors.toMono(new ParameterizedTypeReference<>() {});
accessTokenResponseClient.setBodyExtractor((inputMessage, context) ->
    bodyExtractor.extract(inputMessage, context)
        .map(parameters -> OAuth2AccessTokenResponse.withToken("custom-token")
            // ...
            .build()
        )
);
java
警告

当提供自定义的 BodyExtractor 时,您需要负责根据响应的参数检测并将 OAuth 2.0 错误响应转换为带有 OAuth2ErrorMono.error()

自定义 WebClient

或者,如果你的需求更高级,你可以通过向 setWebClient() 提供一个预配置的 WebClient 来完全控制请求和/或响应,如下例所示:

WebClient webClient = WebClient.builder()
    // ...
    .build();

WebClientReactiveJwtBearerTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveJwtBearerTokenResponseClient();
accessTokenResponseClient.setWebClient(webClient);
java

使用构建器进行自定义

无论你是自定义 WebClientReactiveJwtBearerTokenResponseClient,还是提供自己的 ReactiveOAuth2AccessTokenResponseClient 实现,都可以使用 ReactiveOAuth2AuthorizedClientProviderBuilder 进行配置(作为发布一个 bean 的替代方案),如下所示:

// Customize
ReactiveOAuth2AccessTokenResponseClient<JwtBearerGrantRequest> jwtBearerTokenResponseClient = ...

JwtBearerReactiveOAuth2AuthorizedClientProvider jwtBearerAuthorizedClientProvider = new JwtBearerReactiveOAuth2AuthorizedClientProvider();
jwtBearerAuthorizedClientProvider.setAccessTokenResponseClient(jwtBearerTokenResponseClient);

ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
        ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                .provider(jwtBearerAuthorizedClientProvider)
                .build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
java

使用访问令牌

给定以下用于OAuth 2.0客户端注册的Spring Boot属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: urn:ietf:params:oauth:grant-type:jwt-bearer
            scope: read
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token
yaml

…​和 OAuth2AuthorizedClientManager @Bean

@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
        ReactiveClientRegistrationRepository clientRegistrationRepository,
        ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {

    JwtBearerReactiveOAuth2AuthorizedClientProvider jwtBearerAuthorizedClientProvider =
            new JwtBearerReactiveOAuth2AuthorizedClientProvider();

    ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
            ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                    .provider(jwtBearerAuthorizedClientProvider)
                    .build();

    DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
            new DefaultReactiveOAuth2AuthorizedClientManager(
                    clientRegistrationRepository, authorizedClientRepository);
    authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

    return authorizedClientManager;
}
java

您可以按如下方式获取 OAuth2AccessToken

@RestController
public class OAuth2ResourceServerController {

    @Autowired
    private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;

    @GetMapping("/resource")
    public Mono<String> resource(JwtAuthenticationToken jwtAuthentication, ServerWebExchange exchange) {
        OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
                .principal(jwtAuthentication)
                .build();

        return this.authorizedClientManager.authorize(authorizeRequest)
                .map(OAuth2AuthorizedClient::getAccessToken)
                // ...
                .thenReturn("index");
    }
}
java
备注

JwtBearerReactiveOAuth2AuthorizedClientProvider 默认通过 OAuth2AuthorizationContext.getPrincipal().getPrincipal() 解析 Jwt 断言,因此在前面的示例中使用了 JwtAuthenticationToken

提示

如果你需要从不同的来源解析 Jwt 断言,可以使用 JwtBearerReactiveOAuth2AuthorizedClientProvider.setJwtAssertionResolver() 提供一个自定义的 Function<OAuth2AuthorizationContext, Mono<Jwt>>

令牌交换

备注

有关Token Exchange授权的更多细节,请参阅 OAuth 2.0 Token Exchange。

请求访问令牌

备注

请参阅 Token Exchange 请求和响应 协议流程以了解 Token Exchange 授权。

ReactiveOAuth2AccessTokenResponseClient 的默认实现是 WebClientReactiveTokenExchangeTokenResponseClient,它在向授权服务器的令牌端点请求访问令牌时使用 WebClient

要自定义 WebClientReactiveTokenExchangeTokenResponseClient,只需提供一个 bean,如以下示例所示,它将被默认的 ReactiveOAuth2AuthorizedClientManager 自动识别:

@Bean
public WebClientReactiveTokenExchangeTokenResponseClient tokenExchangeTokenResponseClient() {
    // 自定义配置
    WebClientReactiveTokenExchangeTokenResponseClient client = new WebClientReactiveTokenExchangeTokenResponseClient();
    // 配置 client
    return client;
}
java
@Bean
public ReactiveOAuth2AccessTokenResponseClient<TokenExchangeGrantRequest> accessTokenResponseClient() {
    WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
        new WebClientReactiveTokenExchangeTokenResponseClient();
    // ...
    return accessTokenResponseClient;
}
java

WebClientReactiveTokenExchangeTokenResponseClient 非常灵活,并提供了多种选项来自定义用于 Token Exchange 授权的 OAuth 2.0 访问令牌请求和响应。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

WebClientReactiveTokenExchangeTokenResponseClient 提供了用于自定义令牌请求的 HTTP 头和请求参数的钩子。

自定义请求头

有两种方法来自定义 HTTP 头:

  • 通过调用 addHeadersConverter() 添加额外的头部

  • 通过调用 setHeadersConverter() 完全自定义头部

您可以使用 addHeadersConverter() 添加额外的头部信息,而不会影响添加到每个请求的默认头部信息。以下示例在 registrationIdspring 时向请求添加一个 User-Agent 头部:

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    HttpHeaders headers = new HttpHeaders();
    if (clientRegistration.getRegistrationId().equals("spring")) {
        headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
    }
    return headers;
});
java

你可以通过重用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义标头。以下示例重用了 DefaultOAuth2TokenRequestHeadersConverter 并禁用了 encodeClientCredentials,以便 HTTP Basic 凭证不再使用 application/x-www-form-urlencoded 进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
    new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);
java

自定义请求参数

有三种自定义请求参数的选项:

  • 通过调用 addParametersConverter() 添加额外的参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 不能完全自定义参数,因为它要求用户提供所有默认参数。默认参数总是会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略。

您可以使用 addParametersConverter() 添加额外的参数,而不会影响添加到每个请求的默认参数。以下示例在 registrationIdkeycloak 时向请求添加一个 audience 参数:

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
    if (clientRegistration.getRegistrationId().equals("keycloak")) {
        parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
    }
    return parameters;
});
java

您可以使用 setParametersConverter() 覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
    ClientRegistration clientRegistration = grantRequest.getClientRegistration();
    LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
    if (clientRegistration.getRegistrationId().equals("okta")) {
        parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
    }
    return parameters;
});
java

您可以使用 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例在请求中存在 client_assertion 参数时省略 client_id 参数:

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
    if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
        parameters.remove(OAuth2ParameterNames.CLIENT_ID);
    }
});
java

自定义访问令牌响应

WebClientReactiveTokenExchangeTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应的钩子。

自定义响应参数

你可以通过调用 setBodyExtractor() 来自定义 Token 响应参数到 OAuth2AccessTokenResponse 的转换。OAuth2BodyExtractors.oauth2AccessTokenResponse() 提供的默认实现会解析响应并相应地处理错误。

以下示例提供了一个自定义 Token 响应参数转换为 OAuth2AccessTokenResponse 的起点:

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();

BodyExtractor<Mono<Map<String, Object>>, ReactiveHttpInputMessage> bodyExtractor =
    BodyExtractors.toMono(new ParameterizedTypeReference<>() {});
accessTokenResponseClient.setBodyExtractor((inputMessage, context) ->
    bodyExtractor.extract(inputMessage, context)
        .map(parameters -> OAuth2AccessTokenResponse.withToken("custom-token")
            // ...
            .build()
        )
);
java
警告

当你提供一个自定义的 BodyExtractor 时,你需要负责根据响应的参数检测并将 OAuth 2.0 错误响应转换为带有 OAuth2ErrorMono.error()

自定义 WebClient

或者,如果你的需求更高级,你可以通过向 setWebClient() 提供一个预配置的 WebClient 来完全控制请求和/或响应,如下例所示:

WebClient webClient = WebClient.builder()
    // ...
    .build();

WebClientReactiveTokenExchangeTokenResponseClient accessTokenResponseClient =
    new WebClientReactiveTokenExchangeTokenResponseClient();
accessTokenResponseClient.setWebClient(webClient);
java

使用构建器进行自定义

无论你是自定义 WebClientReactiveTokenExchangeTokenResponseClient 还是提供自己的 ReactiveOAuth2AccessTokenResponseClient 实现,都可以使用 ReactiveOAuth2AuthorizedClientProviderBuilder 来配置它(作为发布一个 bean 的替代方案),如下所示:

// Customize
ReactiveOAuth2AccessTokenResponseClient<TokenExchangeGrantRequest> tokenExchangeTokenResponseClient = ...

TokenExchangeReactiveOAuth2AuthorizedClientProvider tokenExchangeAuthorizedClientProvider = new TokenExchangeReactiveOAuth2AuthorizedClientProvider();
tokenExchangeAuthorizedClientProvider.setAccessTokenResponseClient(tokenExchangeTokenResponseClient);

ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
        ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                .provider(tokenExchangeAuthorizedClientProvider)
                .build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
java

使用访问令牌

给定以下用于OAuth 2.0客户端注册的Spring Boot属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: urn:ietf:params:oauth:grant-type:token-exchange
            scope: read
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token
yaml

…​和 OAuth2AuthorizedClientManager @Bean

@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
        ReactiveClientRegistrationRepository clientRegistrationRepository,
        ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {

    TokenExchangeReactiveOAuth2AuthorizedClientProvider tokenExchangeAuthorizedClientProvider =
            new TokenExchangeReactiveOAuth2AuthorizedClientProvider();

    ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
            ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                    .provider(tokenExchangeAuthorizedClientProvider)
                    .build();

    DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
            new DefaultReactiveOAuth2AuthorizedClientManager(
                    clientRegistrationRepository, authorizedClientRepository);
    authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

    return authorizedClientManager;
}
java

您可以按照如下方式获取 OAuth2AccessToken

@RestController
public class OAuth2ResourceServerController {

    @Autowired
    private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;

    @GetMapping("/resource")
    public Mono<String> resource(JwtAuthenticationToken jwtAuthentication) {
        OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
                .principal(jwtAuthentication)
                .build();

        return this.authorizedClientManager.authorize(authorizeRequest)
                .map(OAuth2AuthorizedClient::getAccessToken)
                // ...
                .thenReturn("index");
    }
}
java
备注

TokenExchangeReactiveOAuth2AuthorizedClientProvider 默认通过 OAuth2AuthorizationContext.getPrincipal().getPrincipal() 解析主体令牌(作为 OAuth2Token),因此在前面的示例中使用了 JwtAuthenticationToken。默认情况下,不会解析代理令牌。

提示

如果你需要从不同的来源解析主体令牌,可以使用 TokenExchangeReactiveOAuth2AuthorizedClientProvider.setSubjectTokenResolver() 提供一个自定义的 Function<OAuth2AuthorizationContext, Mono<OAuth2Token>>

提示

如果你需要解析一个actor token,可以使用 TokenExchangeReactiveOAuth2AuthorizedClientProvider.setActorTokenResolver() 提供一个自定义的 Function<OAuth2AuthorizationContext, Mono<OAuth2Token>>