跳到主要内容
版本:7.0.2

DeepSeek V3 中英对照 OAuth2 Authorized Clients #

授权客户端功能

本节将介绍 Spring Security 为 OAuth2 客户端提供的附加功能。

解决已授权的客户端

@RegisteredOAuth2AuthorizedClient 注解提供了将方法参数解析为 OAuth2AuthorizedClient 类型参数值的能力。与使用 ReactiveOAuth2AuthorizedClientManagerReactiveOAuth2AuthorizedClientService 访问 OAuth2AuthorizedClient 相比,这是一种便捷的替代方案。

@Controller
public class OAuth2ClientController {

	@GetMapping("/")
	public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
		return Mono.just(authorizedClient.getAccessToken())
				...
				.thenReturn("index");
	}
}

@RegisteredOAuth2AuthorizedClient 注解由 OAuth2AuthorizedClientArgumentResolver 处理,它直接使用 ReactiveOAuth2AuthorizedClientManager,因此继承了其功能。

适用于响应式环境的 WebClient 集成

OAuth 2.0 客户端支持通过 ExchangeFilterFunctionWebClient 集成。

ServerOAuth2AuthorizedClientExchangeFilterFunction 提供了一种简单的机制,通过使用 OAuth2AuthorizedClient 并包含关联的 OAuth2AccessToken 作为 Bearer 令牌来请求受保护资源。它直接使用 ReactiveOAuth2AuthorizedClientManager,因此继承了以下功能:

  • 如果客户端尚未获得授权,将请求一个 OAuth2AccessToken

    • authorization_code - 触发授权请求重定向以启动流程

    • client_credentials - 直接从令牌端点获取访问令牌

  • 如果 OAuth2AccessToken 已过期,并且有可用的 ReactiveOAuth2AuthorizedClientProvider 来执行授权,则它将刷新(或续订)令牌。

以下代码展示了如何配置支持 OAuth 2.0 客户端的 WebClient 示例:

@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
	ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	return WebClient.builder()
			.filter(oauth2Client)
			.build();
}

提供已授权的客户端

ServerOAuth2AuthorizedClientExchangeFilterFunction 通过从 ClientRequest.attributes()(请求属性)中解析 OAuth2AuthorizedClient 来确定(请求的)客户端。

以下代码展示了如何将 OAuth2AuthorizedClient 设置为请求属性:

@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
	String resourceUri = ...

	return webClient
			.get()
			.uri(resourceUri)
			.attributes(oauth2AuthorizedClient(authorizedClient))   1
			.retrieve()
			.bodyToMono(String.class)
			...
			.thenReturn("index");
}

  • oauth2AuthorizedClient()ServerOAuth2AuthorizedClientExchangeFilterFunction 中的一个 static 方法。

以下代码展示了如何将 ClientRegistration.getRegistrationId() 设置为请求属性:

@GetMapping("/")
public Mono<String> index() {
	String resourceUri = ...

	return webClient
			.get()
			.uri(resourceUri)
			.attributes(clientRegistrationId("okta"))   1
			.retrieve()
			.bodyToMono(String.class)
			...
			.thenReturn("index");
}

  • clientRegistrationId()ServerOAuth2AuthorizedClientExchangeFilterFunction 中的一个 static 方法。

默认授权客户端

如果请求属性中既未提供 OAuth2AuthorizedClient 也未提供 ClientRegistration.getRegistrationId()ServerOAuth2AuthorizedClientExchangeFilterFunction 可根据其配置决定要使用的默认客户端。

如果配置了 setDefaultOAuth2AuthorizedClient(true) 且用户已通过 ServerHttpSecurity.oauth2Login() 完成认证,则会使用与当前 OAuth2AuthenticationToken 关联的 OAuth2AccessToken

以下代码展示了具体的配置:

@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
	ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultOAuth2AuthorizedClient(true);
	return WebClient.builder()
			.filter(oauth2Client)
			.build();
}
注意

建议谨慎使用此功能,因为所有 HTTP 请求都将接收到访问令牌。

或者,如果配置了 setDefaultClientRegistrationId("okta") 且其关联一个有效的 ClientRegistration,则会使用与该 OAuth2AuthorizedClient 关联的 OAuth2AccessToken

以下代码展示了具体的配置:

@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
	ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultClientRegistrationId("okta");
	return WebClient.builder()
			.filter(oauth2Client)
			.build();
}
注意

建议谨慎使用此功能,因为所有 HTTP 请求都将接收到访问令牌。