授权客户端功能
本节涵盖 Spring Security 为 OAuth2 客户端提供的附加功能。
解决已授权客户端
@RegisteredOAuth2AuthorizedClient 注解提供了将方法参数解析为 OAuth2AuthorizedClient 类型的参数值的功能。与使用 ReactiveOAuth2AuthorizedClientManager 或 ReactiveOAuth2AuthorizedClientService 访问 OAuth2AuthorizedClient 相比,这是一种方便的替代方法。
- Java
- Kotlin
@Controller
public class OAuth2ClientController {
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
return Mono.just(authorizedClient.getAccessToken())
...
.thenReturn("index");
}
}
@Controller
class OAuth2ClientController {
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
return Mono.just(authorizedClient.accessToken)
...
.thenReturn("index")
}
}
@RegisteredOAuth2AuthorizedClient 注解由 OAuth2AuthorizedClientArgumentResolver 处理,该解析器直接使用 ReactiveOAuth2AuthorizedClientManager,因此继承了其功能。
适用于响应式环境的WebClient集成
OAuth 2.0 客户端支持通过一个 ExchangeFilterFunction 与 WebClient 集成。
ServerOAuth2AuthorizedClientExchangeFilterFunction 提供了一种简单的机制,通过使用 OAuth2AuthorizedClient 并将关联的 OAuth2AccessToken 作为 Bearer Token 来请求受保护的资源。它直接使用 ReactiveOAuth2AuthorizedClientManager,因此继承了以下功能:
-
如果客户端尚未获得授权,则会请求一个
OAuth2AccessToken。-
authorization_code- 触发授权请求重定向以启动流程 -
client_credentials- 访问令牌直接从令牌端点获取 -
password- 访问令牌直接从令牌端点获取
-
-
如果
OAuth2AccessToken已过期,并且有可用的ReactiveOAuth2AuthorizedClientProvider来执行授权,则会刷新(或更新)该令牌。
以下代码展示了如何配置带有 OAuth 2.0 客户端支持的 WebClient:
// code example
- Java
- Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
return WebClient.builder()
.filter(oauth2Client)
.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
return WebClient.builder()
.filter(oauth2Client)
.build()
}
提供授权客户端
ServerOAuth2AuthorizedClientExchangeFilterFunction 通过从 ClientRequest.attributes()(请求属性)中解析 OAuth2AuthorizedClient 来确定要使用的客户端(对于一个请求)。
以下代码展示了如何将 OAuth2AuthorizedClient 设置为请求属性:
- Java
- Kotlin
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) 1
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) 1
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}
oauth2AuthorizedClient()是ServerOAuth2AuthorizedClientExchangeFilterFunction中的一个static方法。
以下代码展示了如何将 ClientRegistration.getRegistrationId() 设置为请求属性:
- Java
- Kotlin
@GetMapping("/")
public Mono<String> index() {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) 1
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}
@GetMapping("/")
fun index(): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) 1
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}
clientRegistrationId()是ServerOAuth2AuthorizedClientExchangeFilterFunction中的static方法。
默认授权客户端
如果请求属性中既没有提供 OAuth2AuthorizedClient 也没有提供 ClientRegistration.getRegistrationId(),则 ServerOAuth2AuthorizedClientExchangeFilterFunction 可以根据其配置确定使用的默认客户端。
如果配置了 setDefaultOAuth2AuthorizedClient(true) 并且用户已经通过 ServerHttpSecurity.oauth2Login() 进行了身份验证,那么将使用与当前 OAuth2AuthenticationToken 关联的 OAuth2AccessToken。
以下代码显示了具体配置:
- Java
- Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultOAuth2AuthorizedClient(true);
return WebClient.builder()
.filter(oauth2Client)
.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultOAuth2AuthorizedClient(true)
return WebClient.builder()
.filter(oauth2Client)
.build()
}
建议谨慎使用此功能,因为所有 HTTP 请求都会接收到访问令牌。
或者,如果 setDefaultClientRegistrationId("okta") 配置了一个有效的 ClientRegistration,则使用与 OAuth2AuthorizedClient 关联的 OAuth2AccessToken。
以下代码显示了具体的配置:
- Java
- Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultClientRegistrationId("okta");
return WebClient.builder()
.filter(oauth2Client)
.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultClientRegistrationId("okta")
return WebClient.builder()
.filter(oauth2Client)
.build()
}
建议谨慎使用此功能,因为所有 HTTP 请求都会接收到访问令牌。