跳到主要内容
版本:7.0.2

DeepSeek V3 中英对照 OAuth2 Authorization Grants #

授权许可支持

本节介绍 Spring Security 对授权许可的支持。

授权码

备注

有关授权码授权的更多详细信息,请参阅 OAuth 2.0 授权框架。

获取授权

备注

请参阅授权码授予的授权请求/响应协议流程。

发起授权请求

OAuth2AuthorizationRequestRedirectFilter 使用 OAuth2AuthorizationRequestResolver 来解析 OAuth2AuthorizationRequest,并通过将最终用户的用户代理重定向到授权服务器的授权端点来启动授权码授权流程。

OAuth2AuthorizationRequestResolver 的主要作用是从提供的网络请求中解析出 OAuth2AuthorizationRequest。默认实现 DefaultOAuth2AuthorizationRequestResolver 会匹配(默认的)路径 /oauth2/authorization/{registrationId},提取其中的 registrationId,并使用它为关联的 ClientRegistration 构建 OAuth2AuthorizationRequest

考虑以下用于 OAuth 2.0 客户端注册的 Spring Boot 属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/authorized/okta"
            scope: read, write
        provider:
          okta:
            authorization-uri: https://dev-1234.oktapreview.com/oauth2/v1/authorize
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token

基于上述属性,一个带有基础路径 /oauth2/authorization/okta 的请求会触发 OAuth2AuthorizationRequestRedirectFilter 进行授权请求重定向,并最终启动授权码授权流程。

备注

AuthorizationCodeOAuth2AuthorizedClientProviderOAuth2AuthorizedClientProvider 的一个实现,用于处理授权码(Authorization Code)授权类型,同时它还会通过 OAuth2AuthorizationRequestRedirectFilter 发起授权请求的重定向。

如果 OAuth 2.0 客户端是公共客户端,请按如下方式配置 OAuth 2.0 客户端注册:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-authentication-method: none
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/authorized/okta"
            # ...

公共客户端通过使用代码交换证明密钥(PKCE)获得支持。如果客户端运行在不可信的环境中(例如原生应用程序或基于Web浏览器的应用程序),因而无法保持其凭据的机密性,则在满足以下条件时,系统会自动使用PKCE:

  1. client-secret 被省略(或为空),且

  2. client-authentication-method 被设置为 none (ClientAuthenticationMethod.NONE)

  1. ClientRegistration.clientSettings.requireProofKeytrue 时(此时 ClientRegistration.authorizationGrantType 必须为 authorization_code
提示

如果 OAuth 2.0 提供方支持为机密客户端使用 PKCE,你可以(可选地)通过 DefaultOAuth2AuthorizationRequestResolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce()) 来配置它。

DefaultOAuth2AuthorizationRequestResolver 还支持通过使用 UriComponentsBuilderredirect-uri 设置 URI 模板变量。

以下配置使用了所有支持的 URI 模板变量:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            # ...
            redirect-uri: "{baseScheme}://{baseHost}{basePort}{basePath}/authorized/{registrationId}"
            # ...
备注

{baseUrl} 解析为 {baseScheme}://{baseHost}{basePort}{basePath}

配置 redirect-uri 时使用 URI 模板变量在 OAuth 2.0 客户端运行于代理服务器后方时尤为有用。这样做可以确保在扩展 redirect-uri 时使用 X-Forwarded-* 头部信息。

自定义授权请求

OAuth2AuthorizationRequestResolver 的主要应用场景之一,是能够在 OAuth 2.0 授权框架定义的标准参数之外,使用额外参数自定义授权请求。

例如,OpenID Connect 为授权码流程定义了额外的 OAuth 2.0 请求参数,这些参数扩展自OAuth 2.0 授权框架中定义的标准参数。其中一个扩展参数就是 prompt 参数。

备注

prompt 参数是可选的。它是一个由空格分隔、大小写敏感的 ASCII 字符串值列表,用于指定授权服务器是否提示最终用户进行重新认证和同意。已定义的值包括:noneloginconsentselect_account

以下示例展示了如何配置 DefaultOAuth2AuthorizationRequestResolver,通过一个 Consumer<OAuth2AuthorizationRequest.Builder> 来自定义 oauth2Login() 的授权请求,具体方式是在请求中包含参数 prompt=consent

@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {

	@Autowired
	private ClientRegistrationRepository clientRegistrationRepository;

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests((authorize) -> authorize
				.anyRequest().authenticated()
			)
			.oauth2Login((oauth2) -> oauth2
				.authorizationEndpoint((authorization) -> authorization
					.authorizationRequestResolver(
						authorizationRequestResolver(this.clientRegistrationRepository)
					)
				)
			);
		return http.build();
	}

	private OAuth2AuthorizationRequestResolver authorizationRequestResolver(
			ClientRegistrationRepository clientRegistrationRepository) {

		DefaultOAuth2AuthorizationRequestResolver authorizationRequestResolver =
				new DefaultOAuth2AuthorizationRequestResolver(
						clientRegistrationRepository, "/oauth2/authorization");
		authorizationRequestResolver.setAuthorizationRequestCustomizer(
				authorizationRequestCustomizer());

		return  authorizationRequestResolver;
	}

	private Consumer<OAuth2AuthorizationRequest.Builder> authorizationRequestCustomizer() {
		return customizer -> customizer
					.additionalParameters((params) -> params.put("prompt", "consent"));
	}
}

对于简单的使用场景,如果某个特定提供商的额外请求参数始终相同,你可以直接将其添加到 authorization-uri 属性中。

例如,如果对于提供商 okta,请求参数 prompt 的值始终为 consent,您可以按如下方式配置:

spring:
  security:
    oauth2:
      client:
        provider:
          okta:
            authorization-uri: https://dev-1234.oktapreview.com/oauth2/v1/authorize?prompt=consent

前面的例子展示了在标准参数基础上添加自定义参数的常见用法。此外,如果您的需求更为复杂,可以通过重写 OAuth2AuthorizationRequest.authorizationRequestUri 属性来完全控制授权请求 URI 的构建。

提示

OAuth2AuthorizationRequest.Builder.build() 会构建 OAuth2AuthorizationRequest.authorizationRequestUri,它代表了采用 application/x-www-form-urlencoded 格式、包含所有查询参数的授权请求 URI。

以下示例展示了前例中 authorizationRequestCustomizer() 的变体,它改为重写 OAuth2AuthorizationRequest.authorizationRequestUri 属性:

private Consumer<OAuth2AuthorizationRequest.Builder> authorizationRequestCustomizer() {
	return customizer -> customizer
				.authorizationRequestUri((uriBuilder) -> uriBuilder
					.queryParam("prompt", "consent").build());
}

存储授权请求

AuthorizationRequestRepository 负责从授权请求发起至收到授权响应(回调)期间,对 OAuth2AuthorizationRequest 进行持久化存储。

提示

OAuth2AuthorizationRequest 用于关联和验证授权响应。

AuthorizationRequestRepository的默认实现是HttpSessionOAuth2AuthorizationRequestRepository,它将OAuth2AuthorizationRequest存储在HttpSession中。

如果你有一个自定义的 AuthorizationRequestRepository 实现,可以按如下方式配置:

@Configuration
@EnableWebSecurity
public class OAuth2ClientSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			.oauth2Client((oauth2) -> oauth2
				.authorizationCodeGrant((codeGrant) -> codeGrant
					.authorizationRequestRepository(this.authorizationRequestRepository())
					// ...
				)
			)
            .oauth2Login((oauth2) -> oauth2
                .authorizationEndpoint((endpoint) -> endpoint
                    .authorizationRequestRepository(this.authorizationRequestRepository())
                    // ...
                )
            );
			return http.build();
	}

    @Bean
    public AuthorizationRequestRepository<OAuth2AuthorizationRequest> authorizationRequestRepository() {
        return new CustomOAuth2AuthorizationRequestRepository();
    }
}

请求访问令牌

备注

请参阅授权码许可的访问令牌请求/响应协议流程。

OAuth2AccessTokenResponseClient 的默认实现针对授权码许可类型是 RestClientAuthorizationCodeTokenResponseClient,它使用一个 RestClient 实例在授权服务器的令牌端点处将授权码交换为访问令牌。

RestClientAuthorizationCodeTokenResponseClient 非常灵活,提供了多种选项用于自定义授权码授予流程中的 OAuth 2.0 访问令牌请求和响应。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

RestClientAuthorizationCodeTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌请求的 HTTP 标头和请求参数的钩子。

自定义请求头

自定义 HTTP 标头有以下两种方式:

  • 通过调用 addHeadersConverter() 添加额外的头部信息

  • 通过调用 setHeadersConverter() 完全自定义头部信息

您可以使用 addHeadersConverter() 添加额外的请求头,而不会影响每个请求的默认请求头。以下示例在 registrationIdspring 时,向请求添加 User-Agent 请求头:

RestClientAuthorizationCodeTokenResponseClient accessTokenResponseClient =
	new RestClientAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	HttpHeaders headers = new HttpHeaders();
	if (clientRegistration.getRegistrationId().equals("spring")) {
		headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
	}
	return headers;
});

您可以通过复用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义请求头。以下示例复用 DefaultOAuth2TokenRequestHeadersConverter 并禁用 encodeClientCredentials,从而不再使用 application/x-www-form-urlencoded 对 HTTP Basic 凭据进行编码:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
	new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

RestClientAuthorizationCodeTokenResponseClient accessTokenResponseClient =
	new RestClientAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);

自定义请求参数

自定义请求参数有三种选项:

  • 通过调用 addParametersConverter() 添加额外参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 无法完全自定义参数,因为这需要用户自行提供所有默认参数。默认参数始终会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略这些参数。

你可以通过 addParametersConverter() 方法添加额外参数,而不会影响每个请求中默认添加的参数。以下示例展示了当 registrationIdkeycloak 时,在请求中添加一个 audience 参数:

RestClientAuthorizationCodeTokenResponseClient accessTokenResponseClient =
	new RestClientAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
	if (clientRegistration.getRegistrationId().equals("keycloak")) {
		parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
	}
	return parameters;
});

你可以使用 setParametersConverter() 来覆盖默认参数。以下示例在 registrationIdokta 时覆盖了 client_id 参数:

RestClientAuthorizationCodeTokenResponseClient accessTokenResponseClient =
	new RestClientAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
	if (clientRegistration.getRegistrationId().equals("okta")) {
		parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
	}
	return parameters;
});

你可以通过 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例展示了当请求中包含 client_assertion 参数时,省略 client_id 参数的情况:

RestClientAuthorizationCodeTokenResponseClient accessTokenResponseClient =
	new RestClientAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
	if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
		parameters.remove(OAuth2ParameterNames.CLIENT_ID);
	}
});

自定义访问令牌响应

RestClientAuthorizationCodeTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应参数和错误处理的钩子。

自定义 RestClient

您可以通过向 setRestClient() 提供一个预配置的 RestClient 来自定义令牌响应。默认的 RestClient 配置如下:

RestClient restClient = RestClient.builder()
	.messageConverters(messageConverters -> {
		messageConverters.clear();
		messageConverters.add(new FormHttpMessageConverter());
		messageConverters.add(new OAuth2AccessTokenResponseHttpMessageConverter());
	})
	.defaultStatusHandler(new OAuth2ErrorResponseErrorHandler())
	.build();

RestClientAuthorizationCodeTokenResponseClient accessTokenResponseClient =
	new RestClientAuthorizationCodeTokenResponseClient();
accessTokenResponseClient.setRestClient(restClient);

OAuth2AccessTokenResponseHttpMessageConverter 是一个用于处理 OAuth 2.0 访问令牌响应的 HttpMessageConverter。您可以通过调用 setAccessTokenResponseConverter() 方法来自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换过程。默认实现为 DefaultMapOAuth2AccessTokenResponseConverter

OAuth2ErrorResponseErrorHandler 是一个 ResponseErrorHandler,能够处理 OAuth 2.0 错误,例如 400 Bad Request。它使用 OAuth2ErrorHttpMessageConverter 将 OAuth 2.0 错误参数转换为 OAuth2Error。您可以通过调用 setErrorConverter() 来自定义令牌响应参数到 OAuth2Error 的转换。

提示

需要 Spring MVC 的 FormHttpMessageConverter,因为在发送 OAuth 2.0 访问令牌请求时会用到它。

自定义响应参数

以下示例为自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换提供了起点:

OAuth2AccessTokenResponseHttpMessageConverter accessTokenResponseMessageConverter =
	new OAuth2AccessTokenResponseHttpMessageConverter();
accessTokenResponseMessageConverter.setAccessTokenResponseConverter(parameters -> {
	// ...
	return OAuth2AccessTokenResponse.withToken("custom-token")
		// ...
		.build();
});

自定义错误处理

以下示例为自定义 Error 参数转换为 OAuth2Error 提供了起点:

OAuth2ErrorHttpMessageConverter errorConverter =
	new OAuth2ErrorHttpMessageConverter();
errorConverter.setErrorConverter(parameters -> {
	// ...
	return new OAuth2Error("custom-error", "custom description", "custom-uri");
});

OAuth2ErrorResponseErrorHandler errorHandler =
	new OAuth2ErrorResponseErrorHandler();
errorHandler.setErrorConverter(errorConverter);

使用DSL进行自定义

无论你是自定义 RestClientAuthorizationCodeTokenResponseClient 还是提供自己的 OAuth2AccessTokenResponseClient 实现,都可以通过 DSL 进行配置(作为发布 Bean 的替代方案),具体如下:

@Configuration
@EnableWebSecurity
public class OAuth2ClientSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			.oauth2Client((oauth2) -> oauth2
				.authorizationCodeGrant((codeGrant) -> codeGrant
					.accessTokenResponseClient(this.accessTokenResponseClient())
					// ...
				)
			);
		return http.build();
	}
}

刷新令牌

备注

有关 刷新令牌 的更多详细信息,请参阅 OAuth 2.0 授权框架。

刷新访问令牌

备注

请参阅刷新令牌授权的访问令牌请求/响应协议流程。

OAuth2AccessTokenResponseClient 针对刷新令牌授权的默认实现是 RestClientRefreshTokenTokenResponseClient,它使用 RestClient 实例在授权服务器的令牌端点获取访问令牌。

RestClientRefreshTokenTokenResponseClient 非常灵活,为刷新令牌授权提供了多种自定义 OAuth 2.0 访问令牌请求和响应的选项。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

RestClientRefreshTokenTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌请求的 HTTP 标头和请求参数的钩子。

自定义请求头

自定义 HTTP 标头有两种方式:

  • 通过调用 addHeadersConverter() 来添加额外的头部信息

  • 通过调用 setHeadersConverter() 来完全自定义头部信息

您可以使用 addHeadersConverter() 添加额外的请求头,而不会影响每个请求默认添加的请求头。以下示例在 registrationIdspring 时,向请求添加一个 User-Agent 请求头:

RestClientRefreshTokenTokenResponseClient accessTokenResponseClient =
	new RestClientRefreshTokenTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	HttpHeaders headers = new HttpHeaders();
	if (clientRegistration.getRegistrationId().equals("spring")) {
		headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
	}
	return headers;
});

您可以通过复用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义请求头。以下示例复用 DefaultOAuth2TokenRequestHeadersConverter 并禁用 encodeClientCredentials,从而不再使用 application/x-www-form-urlencoded 编码 HTTP Basic 凭据:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
	new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

RestClientRefreshTokenTokenResponseClient accessTokenResponseClient =
	new RestClientRefreshTokenTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);

自定义请求参数

自定义请求参数有三种选项:

  • 通过调用 addParametersConverter() 添加额外参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 无法完全自定义参数,因为这需要用户自行提供所有默认参数。默认参数始终会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略这些参数。

你可以使用 addParametersConverter() 来添加额外的参数,而不会影响每个请求中默认添加的参数。以下示例展示了当 registrationIdkeycloak 时,向请求中添加一个 audience 参数:

RestClientRefreshTokenTokenResponseClient accessTokenResponseClient =
	new RestClientRefreshTokenTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
	if (clientRegistration.getRegistrationId().equals("keycloak")) {
		parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
	}
	return parameters;
});

你可以使用 setParametersConverter() 来覆盖默认参数。以下示例在 registrationIdokta 时覆盖了 client_id 参数:

RestClientRefreshTokenTokenResponseClient accessTokenResponseClient =
	new RestClientRefreshTokenTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
	if (clientRegistration.getRegistrationId().equals("okta")) {
		parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
	}
	return parameters;
});

你可以通过 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例展示了当请求中包含 client_assertion 参数时,省略 client_id 参数的情况:

RestClientRefreshTokenTokenResponseClient accessTokenResponseClient =
	new RestClientRefreshTokenTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
	if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
		parameters.remove(OAuth2ParameterNames.CLIENT_ID);
	}
});

自定义访问令牌响应

RestClientRefreshTokenTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应参数和错误处理的钩子。

自定义 RestClient

您可以通过向 setRestClient() 提供一个预配置的 RestClient 来自定义令牌响应。默认的 RestClient 配置如下:

RestClient restClient = RestClient.builder()
	.messageConverters(messageConverters -> {
		messageConverters.clear();
		messageConverters.add(new FormHttpMessageConverter());
		messageConverters.add(new OAuth2AccessTokenResponseHttpMessageConverter());
	})
	.defaultStatusHandler(new OAuth2ErrorResponseErrorHandler())
	.build();

RestClientRefreshTokenTokenResponseClient accessTokenResponseClient =
	new RestClientRefreshTokenTokenResponseClient();
accessTokenResponseClient.setRestClient(restClient);

OAuth2AccessTokenResponseHttpMessageConverter 是一个用于处理 OAuth 2.0 访问令牌响应的 HttpMessageConverter。您可以通过调用 setAccessTokenResponseConverter() 方法来自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换过程。默认实现为 DefaultMapOAuth2AccessTokenResponseConverter

OAuth2ErrorResponseErrorHandler 是一个 ResponseErrorHandler,能够处理 OAuth 2.0 错误,例如 400 Bad Request。它使用 OAuth2ErrorHttpMessageConverter 将 OAuth 2.0 错误参数转换为 OAuth2Error。您可以通过调用 setErrorConverter() 来自定义令牌响应参数到 OAuth2Error 的转换。

提示

需要 Spring MVC 的 FormHttpMessageConverter,因为在发送 OAuth 2.0 访问令牌请求时会用到它。

自定义响应参数

以下示例为自定义令牌响应参数转换为 OAuth2AccessTokenResponse 提供了起点:

OAuth2AccessTokenResponseHttpMessageConverter accessTokenResponseMessageConverter =
	new OAuth2AccessTokenResponseHttpMessageConverter();
accessTokenResponseMessageConverter.setAccessTokenResponseConverter(parameters -> {
	// ...
	return OAuth2AccessTokenResponse.withToken("custom-token")
		// ...
		.build();
});

自定义错误处理

以下示例为自定义将 Error 参数转换为 OAuth2Error 提供了起点:

OAuth2ErrorHttpMessageConverter errorConverter =
	new OAuth2ErrorHttpMessageConverter();
errorConverter.setErrorConverter(parameters -> {
	// ...
	return new OAuth2Error("custom-error", "custom description", "custom-uri");
});

OAuth2ErrorResponseErrorHandler errorHandler =
	new OAuth2ErrorResponseErrorHandler();
errorHandler.setErrorConverter(errorConverter);

使用构建器进行自定义

无论你是自定义 RestClientRefreshTokenTokenResponseClient 还是提供自己的 OAuth2AccessTokenResponseClient 实现,都可以通过 OAuth2AuthorizedClientProviderBuilder 进行配置(作为发布 Bean 的替代方案),具体如下:

// Customize
OAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> refreshTokenTokenResponseClient = ...

OAuth2AuthorizedClientProvider authorizedClientProvider =
		OAuth2AuthorizedClientProviderBuilder.builder()
				.authorizationCode()
				.refreshToken((configurer) -> configurer.accessTokenResponseClient(refreshTokenTokenResponseClient))
				.build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
备注

OAuth2AuthorizedClientProviderBuilder.builder().refreshToken() 配置了一个 RefreshTokenOAuth2AuthorizedClientProvider,它是用于刷新令牌(Refresh Token)授权的 OAuth2AuthorizedClientProvider 实现。

OAuth2RefreshToken 可选择性地在 authorization_code 授权类型的访问令牌响应中返回。如果 OAuth2AuthorizedClient.getRefreshToken() 可用且 OAuth2AuthorizedClient.getAccessToken() 已过期,RefreshTokenOAuth2AuthorizedClientProvider 将自动刷新令牌。

客户端凭证

备注

关于客户端凭证授权方式的更多详细信息,请参考 OAuth 2.0 授权框架。

请求访问令牌

备注

请参阅访问令牌请求/响应协议流程,了解客户端凭据授权方式。

OAuth2AccessTokenResponseClient 的默认实现针对客户端凭据授权模式为 RestClientClientCredentialsTokenResponseClient,它使用 RestClient 实例在授权服务器的令牌端点获取访问令牌。

RestClientClientCredentialsTokenResponseClient 非常灵活,为客户端凭据授权提供了多种自定义 OAuth 2.0 访问令牌请求和响应的选项。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

RestClientClientCredentialsTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌请求的 HTTP 标头和请求参数的钩子。

自定义请求头

自定义 HTTP 标头有以下两种方案:

  • 通过调用 addHeadersConverter() 来添加额外的头部信息

  • 通过调用 setHeadersConverter() 来完全自定义头部信息

您可以使用 addHeadersConverter() 添加额外的请求头,而不会影响每个请求默认添加的请求头。以下示例展示了当 registrationIdspring 时,如何向请求添加 User-Agent 请求头:

RestClientClientCredentialsTokenResponseClient accessTokenResponseClient =
	new RestClientClientCredentialsTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	HttpHeaders headers = new HttpHeaders();
	if (clientRegistration.getRegistrationId().equals("spring")) {
		headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
	}
	return headers;
});

您可以通过复用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义请求头。以下示例复用 DefaultOAuth2TokenRequestHeadersConverter 并禁用 encodeClientCredentials,从而不再使用 application/x-www-form-urlencoded 编码 HTTP Basic 凭据:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
	new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

RestClientClientCredentialsTokenResponseClient accessTokenResponseClient =
	new RestClientClientCredentialsTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);

自定义请求参数

自定义请求参数有三种选项:

  • 通过调用 addParametersConverter() 添加额外参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 无法完全自定义参数,因为这需要用户自行提供所有默认参数。默认参数始终会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略这些参数。

你可以使用 addParametersConverter() 来添加额外的参数,而不会影响每个请求中默认添加的参数。以下示例展示了当 registrationIdkeycloak 时,向请求中添加一个 audience 参数:

RestClientClientCredentialsTokenResponseClient accessTokenResponseClient =
	new RestClientClientCredentialsTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
	if (clientRegistration.getRegistrationId().equals("keycloak")) {
		parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
	}
	return parameters;
});

你可以使用 setParametersConverter() 来覆盖默认参数。以下示例在 registrationIdokta 时覆盖了 client_id 参数:

RestClientClientCredentialsTokenResponseClient accessTokenResponseClient =
	new RestClientClientCredentialsTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
	if (clientRegistration.getRegistrationId().equals("okta")) {
		parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
	}
	return parameters;
});

你可以通过 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例展示了当请求中存在 client_assertion 参数时,省略 client_id 参数的情况:

RestClientClientCredentialsTokenResponseClient accessTokenResponseClient =
	new RestClientClientCredentialsTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
	if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
		parameters.remove(OAuth2ParameterNames.CLIENT_ID);
	}
});

自定义访问令牌响应

RestClientClientCredentialsTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应参数和错误处理的钩子。

自定义 RestClient

您可以通过向 setRestClient() 方法提供一个预配置的 RestClient 来自定义令牌响应。默认的 RestClient 配置如下:

RestClient restClient = RestClient.builder()
	.messageConverters(messageConverters -> {
		messageConverters.clear();
		messageConverters.add(new FormHttpMessageConverter());
		messageConverters.add(new OAuth2AccessTokenResponseHttpMessageConverter());
	})
	.defaultStatusHandler(new OAuth2ErrorResponseErrorHandler())
	.build();

RestClientClientCredentialsTokenResponseClient accessTokenResponseClient =
	new RestClientClientCredentialsTokenResponseClient();
accessTokenResponseClient.setRestClient(restClient);

OAuth2AccessTokenResponseHttpMessageConverter 是一个用于处理 OAuth 2.0 访问令牌响应的 HttpMessageConverter。您可以通过调用 setAccessTokenResponseConverter() 方法来自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换过程。默认实现为 DefaultMapOAuth2AccessTokenResponseConverter

OAuth2ErrorResponseErrorHandler 是一个 ResponseErrorHandler,能够处理 OAuth 2.0 错误,例如 400 Bad Request。它使用 OAuth2ErrorHttpMessageConverter 将 OAuth 2.0 错误参数转换为 OAuth2Error。您可以通过调用 setErrorConverter() 来自定义令牌响应参数到 OAuth2Error 的转换。

提示

需要 Spring MVC 的 FormHttpMessageConverter,因为在发送 OAuth 2.0 访问令牌请求时会用到它。

自定义响应参数

以下示例为自定义令牌响应参数转换为 OAuth2AccessTokenResponse 提供了起点:

OAuth2AccessTokenResponseHttpMessageConverter accessTokenResponseMessageConverter =
	new OAuth2AccessTokenResponseHttpMessageConverter();
accessTokenResponseMessageConverter.setAccessTokenResponseConverter(parameters -> {
	// ...
	return OAuth2AccessTokenResponse.withToken("custom-token")
		// ...
		.build();
});

自定义错误处理

以下示例为自定义将 Error 参数转换为 OAuth2Error 提供了起点:

OAuth2ErrorHttpMessageConverter errorConverter =
	new OAuth2ErrorHttpMessageConverter();
errorConverter.setErrorConverter(parameters -> {
	// ...
	return new OAuth2Error("custom-error", "custom description", "custom-uri");
});

OAuth2ErrorResponseErrorHandler errorHandler =
	new OAuth2ErrorResponseErrorHandler();
errorHandler.setErrorConverter(errorConverter);

使用构建器进行自定义

无论您是自定义 RestClientClientCredentialsTokenResponseClient 还是提供自己的 OAuth2AccessTokenResponseClient 实现,都可以通过 OAuth2AuthorizedClientProviderBuilder 进行配置(作为发布 Bean 的替代方案),具体操作如下:

// Customize
OAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> clientCredentialsTokenResponseClient = ...

OAuth2AuthorizedClientProvider authorizedClientProvider =
		OAuth2AuthorizedClientProviderBuilder.builder()
				.clientCredentials((configurer) -> configurer.accessTokenResponseClient(clientCredentialsTokenResponseClient))
				.build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
备注

OAuth2AuthorizedClientProviderBuilder.builder().clientCredentials() 配置了一个 ClientCredentialsOAuth2AuthorizedClientProvider,它是 OAuth2AuthorizedClientProvider 的一个实现,用于处理客户端凭据授权模式。

使用访问令牌

考虑以下用于 OAuth 2.0 客户端注册的 Spring Boot 属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: client_credentials
            scope: read, write
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token

进一步考虑以下 OAuth2AuthorizedClientManager @Bean

@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
		ClientRegistrationRepository clientRegistrationRepository,
		OAuth2AuthorizedClientRepository authorizedClientRepository) {

	OAuth2AuthorizedClientProvider authorizedClientProvider =
			OAuth2AuthorizedClientProviderBuilder.builder()
					.clientCredentials()
					.build();

	DefaultOAuth2AuthorizedClientManager authorizedClientManager =
			new DefaultOAuth2AuthorizedClientManager(
					clientRegistrationRepository, authorizedClientRepository);
	authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

	return authorizedClientManager;
}

根据上述属性和bean,你可以按如下方式获取 OAuth2AccessToken

@Controller
public class OAuth2ClientController {

	@Autowired
	private OAuth2AuthorizedClientManager authorizedClientManager;

	@GetMapping("/")
	public String index(Authentication authentication,
						HttpServletRequest servletRequest,
						HttpServletResponse servletResponse) {

		OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
				.principal(authentication)
				.attributes(attrs -> {
					attrs.put(HttpServletRequest.class.getName(), servletRequest);
					attrs.put(HttpServletResponse.class.getName(), servletResponse);
				})
				.build();
		OAuth2AuthorizedClient authorizedClient = this.authorizedClientManager.authorize(authorizeRequest);

		OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

		// ...

		return "index";
	}
}
备注

HttpServletRequestHttpServletResponse 都是可选的属性。如果未提供,它们会默认通过 RequestContextHolder.getRequestAttributes() 使用 ServletRequestAttributes

JWT Bearer

备注

有关 JWT Bearer 授权的更多详细信息,请参阅《OAuth 2.0 客户端认证与授权许可的 JSON Web Token (JWT) 规范》。

请求访问令牌

备注

请参考 JWT Bearer 授权方式的 访问令牌请求/响应 协议流程。

OAuth2AccessTokenResponseClient 针对 JWT Bearer 授权的默认实现是 RestClientJwtBearerTokenResponseClient,它使用 RestClient 实例在授权服务器的令牌端点获取访问令牌。

RestClientJwtBearerTokenResponseClient 非常灵活,提供了多种选项用于自定义 JWT Bearer 授权类型的 OAuth 2.0 访问令牌请求和响应。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

RestClientJwtBearerTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌请求的 HTTP 标头和请求参数的钩子。

自定义请求头

自定义 HTTP 头有两种方式:

  • 通过调用 addHeadersConverter() 添加额外的头部信息

  • 通过调用 setHeadersConverter() 完全自定义头部信息

您可以使用 addHeadersConverter() 添加额外的请求头,而不会影响每个请求默认添加的请求头。以下示例在 registrationIdspring 时,向请求添加一个 User-Agent 请求头:

RestClientJwtBearerTokenResponseClient accessTokenResponseClient =
	new RestClientJwtBearerTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	HttpHeaders headers = new HttpHeaders();
	if (clientRegistration.getRegistrationId().equals("spring")) {
		headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
	}
	return headers;
});

您可以通过复用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义请求头。以下示例复用 DefaultOAuth2TokenRequestHeadersConverter 并禁用 encodeClientCredentials,从而不再使用 application/x-www-form-urlencoded 编码 HTTP Basic 凭据:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
	new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

RestClientJwtBearerTokenResponseClient accessTokenResponseClient =
	new RestClientJwtBearerTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);

自定义请求参数

自定义请求参数有三种选项:

  • 通过调用 addParametersConverter() 添加额外参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 无法完全自定义参数,因为这需要用户自行提供所有默认参数。默认参数始终会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略这些参数。

你可以使用 addParametersConverter() 来添加额外的参数,而不会影响每个请求中默认添加的参数。以下示例展示了当 registrationIdkeycloak 时,向请求中添加一个 audience 参数:

RestClientJwtBearerTokenResponseClient accessTokenResponseClient =
	new RestClientJwtBearerTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
	if (clientRegistration.getRegistrationId().equals("keycloak")) {
		parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
	}
	return parameters;
});

你可以使用 setParametersConverter() 来覆盖默认参数。以下示例在 registrationIdokta 时覆盖 client_id 参数:

RestClientJwtBearerTokenResponseClient accessTokenResponseClient =
	new RestClientJwtBearerTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
	if (clientRegistration.getRegistrationId().equals("okta")) {
		parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
	}
	return parameters;
});

你可以通过 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例展示了当请求中存在 client_assertion 参数时,省略 client_id 参数的情况:

RestClientJwtBearerTokenResponseClient accessTokenResponseClient =
	new RestClientJwtBearerTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
	if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
		parameters.remove(OAuth2ParameterNames.CLIENT_ID);
	}
});

自定义访问令牌响应

RestClientJwtBearerTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应参数和错误处理的钩子。

自定义 RestClient

您可以通过向 setRestClient() 方法提供一个预配置的 RestClient 来自定义令牌响应。默认的 RestClient 配置如下:

RestClient restClient = RestClient.builder()
	.messageConverters(messageConverters -> {
		messageConverters.clear();
		messageConverters.add(new FormHttpMessageConverter());
		messageConverters.add(new OAuth2AccessTokenResponseHttpMessageConverter());
	})
	.defaultStatusHandler(new OAuth2ErrorResponseErrorHandler())
	.build();

RestClientJwtBearerTokenResponseClient accessTokenResponseClient =
	new RestClientJwtBearerTokenResponseClient();
accessTokenResponseClient.setRestClient(restClient);

OAuth2AccessTokenResponseHttpMessageConverter 是一个用于处理 OAuth 2.0 访问令牌响应的 HttpMessageConverter。您可以通过调用 setAccessTokenResponseConverter() 来自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换过程。默认实现为 DefaultMapOAuth2AccessTokenResponseConverter

OAuth2ErrorResponseErrorHandler 是一个 ResponseErrorHandler,能够处理 OAuth 2.0 错误,例如 400 Bad Request。它使用 OAuth2ErrorHttpMessageConverter 将 OAuth 2.0 错误参数转换为 OAuth2Error。您可以通过调用 setErrorConverter() 来自定义令牌响应参数到 OAuth2Error 的转换。

提示

需要 Spring MVC 的 FormHttpMessageConverter,因为在发送 OAuth 2.0 访问令牌请求时会用到它。

自定义响应参数

以下示例为自定义令牌响应参数转换为 OAuth2AccessTokenResponse 提供了起点:

OAuth2AccessTokenResponseHttpMessageConverter accessTokenResponseMessageConverter =
	new OAuth2AccessTokenResponseHttpMessageConverter();
accessTokenResponseMessageConverter.setAccessTokenResponseConverter(parameters -> {
	// ...
	return OAuth2AccessTokenResponse.withToken("custom-token")
		// ...
		.build();
});

自定义错误处理

以下示例为自定义将 Error 参数转换为 OAuth2Error 提供了起点:

OAuth2ErrorHttpMessageConverter errorConverter =
	new OAuth2ErrorHttpMessageConverter();
errorConverter.setErrorConverter(parameters -> {
	// ...
	return new OAuth2Error("custom-error", "custom description", "custom-uri");
});

OAuth2ErrorResponseErrorHandler errorHandler =
	new OAuth2ErrorResponseErrorHandler();
errorHandler.setErrorConverter(errorConverter);

使用构建器进行自定义

无论您是自定义 RestClientJwtBearerTokenResponseClient 还是提供自己的 OAuth2AccessTokenResponseClient 实现,都可以使用 OAuth2AuthorizedClientProviderBuilder 进行配置(作为发布 Bean 的替代方案),具体操作如下:

// Customize
OAuth2AccessTokenResponseClient<JwtBearerGrantRequest> jwtBearerTokenResponseClient = ...

JwtBearerOAuth2AuthorizedClientProvider jwtBearerAuthorizedClientProvider = new JwtBearerOAuth2AuthorizedClientProvider();
jwtBearerAuthorizedClientProvider.setAccessTokenResponseClient(jwtBearerTokenResponseClient);

OAuth2AuthorizedClientProvider authorizedClientProvider =
		OAuth2AuthorizedClientProviderBuilder.builder()
				.provider(jwtBearerAuthorizedClientProvider)
				.build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

使用访问令牌

给定以下用于 OAuth 2.0 客户端注册的 Spring Boot 属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: urn:ietf:params:oauth:grant-type:jwt-bearer
            scope: read
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token

…​以及 OAuth2AuthorizedClientManager @Bean

@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
		ClientRegistrationRepository clientRegistrationRepository,
		OAuth2AuthorizedClientRepository authorizedClientRepository) {

	JwtBearerOAuth2AuthorizedClientProvider jwtBearerAuthorizedClientProvider =
			new JwtBearerOAuth2AuthorizedClientProvider();

	OAuth2AuthorizedClientProvider authorizedClientProvider =
			OAuth2AuthorizedClientProviderBuilder.builder()
					.provider(jwtBearerAuthorizedClientProvider)
					.build();

	DefaultOAuth2AuthorizedClientManager authorizedClientManager =
			new DefaultOAuth2AuthorizedClientManager(
					clientRegistrationRepository, authorizedClientRepository);
	authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

	return authorizedClientManager;
}

你可以通过以下方式获取 OAuth2AccessToken

@RestController
public class OAuth2ResourceServerController {

	@Autowired
	private OAuth2AuthorizedClientManager authorizedClientManager;

	@GetMapping("/resource")
	public String resource(JwtAuthenticationToken jwtAuthentication) {
		OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
				.principal(jwtAuthentication)
				.build();
		OAuth2AuthorizedClient authorizedClient = this.authorizedClientManager.authorize(authorizeRequest);
		OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

		// ...

	}
}
备注

默认情况下,JwtBearerOAuth2AuthorizedClientProvider 通过 OAuth2AuthorizationContext.getPrincipal().getPrincipal() 解析 Jwt 断言,因此在前面的示例中使用了 JwtAuthenticationToken

提示

如果你需要从不同的来源解析 Jwt 断言,可以通过 JwtBearerOAuth2AuthorizedClientProvider.setJwtAssertionResolver() 方法提供一个自定义的 Function<OAuth2AuthorizationContext, Jwt>

令牌交换

备注

关于 Token Exchange 授权类型的更多详细信息,请参阅 OAuth 2.0 Token Exchange。

请求访问令牌

备注

关于令牌交换授权,请参考令牌交换请求与响应协议流程。

OAuth2AccessTokenResponseClient 针对令牌交换(Token Exchange)授权的默认实现是 RestClientTokenExchangeTokenResponseClient,它使用 RestClient 实例在授权服务器的令牌端点(Token Endpoint)获取访问令牌。

RestClientTokenExchangeTokenResponseClient 非常灵活,提供了多种选项用于自定义令牌交换授权的 OAuth 2.0 访问令牌请求和响应。请从以下用例中选择以了解更多信息:

自定义访问令牌请求

RestClientTokenExchangeTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌请求的 HTTP 标头和请求参数的钩子。

自定义请求头

自定义 HTTP 标头有两种方式:

  • 通过调用 addHeadersConverter() 添加额外的头部信息

  • 通过调用 setHeadersConverter() 完全自定义头部信息

您可以使用 addHeadersConverter() 添加额外的请求头,而不会影响每个请求默认添加的请求头。以下示例在 registrationIdspring 时,向请求添加一个 User-Agent 请求头:

RestClientTokenExchangeTokenResponseClient accessTokenResponseClient =
	new RestClientTokenExchangeTokenResponseClient();
accessTokenResponseClient.addHeadersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	HttpHeaders headers = new HttpHeaders();
	if (clientRegistration.getRegistrationId().equals("spring")) {
		headers.set(HttpHeaders.USER_AGENT, "my-user-agent");
	}
	return headers;
});

您可以通过复用 DefaultOAuth2TokenRequestHeadersConverter 或使用 setHeadersConverter() 提供自定义实现来完全自定义请求头。以下示例复用 DefaultOAuth2TokenRequestHeadersConverter 并禁用 encodeClientCredentials,从而不再使用 application/x-www-form-urlencoded 编码 HTTP Basic 凭据:

DefaultOAuth2TokenRequestHeadersConverter headersConverter =
	new DefaultOAuth2TokenRequestHeadersConverter();
headersConverter.setEncodeClientCredentials(false);

RestClientTokenExchangeTokenResponseClient accessTokenResponseClient =
	new RestClientTokenExchangeTokenResponseClient();
accessTokenResponseClient.setHeadersConverter(headersConverter);

自定义请求参数

自定义请求参数有三种选项:

  • 通过调用 addParametersConverter() 添加额外参数

  • 通过调用 setParametersConverter() 覆盖参数

  • 通过调用 setParametersCustomizer() 完全自定义参数

备注

使用 setParametersConverter() 无法完全自定义参数,因为这需要用户自行提供所有默认参数。默认参数始终会被提供,但可以通过调用 setParametersCustomizer() 来完全自定义或省略这些参数。

你可以使用 addParametersConverter() 来添加额外的参数,而不会影响每个请求中默认添加的参数。以下示例展示了当 registrationIdkeycloak 时,向请求中添加一个 audience 参数:

RestClientTokenExchangeTokenResponseClient accessTokenResponseClient =
	new RestClientTokenExchangeTokenResponseClient();
accessTokenResponseClient.addParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	MultiValueMap<String, String> parameters = new LinkedMultiValueMap<String, String>();
	if (clientRegistration.getRegistrationId().equals("keycloak")) {
		parameters.set(OAuth2ParameterNames.AUDIENCE, "my-audience");
	}
	return parameters;
});

你可以使用 setParametersConverter() 来覆盖默认参数。以下示例在 registrationIdokta 时覆盖了 client_id 参数:

RestClientTokenExchangeTokenResponseClient accessTokenResponseClient =
	new RestClientTokenExchangeTokenResponseClient();
accessTokenResponseClient.setParametersConverter(grantRequest -> {
	ClientRegistration clientRegistration = grantRequest.getClientRegistration();
	LinkedMultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
	if (clientRegistration.getRegistrationId().equals("okta")) {
		parameters.set(OAuth2ParameterNames.CLIENT_ID, "my-client");
	}
	return parameters;
});

你可以通过 setParametersCustomizer() 完全自定义参数(包括省略默认参数)。以下示例展示了当请求中存在 client_assertion 参数时,省略 client_id 参数的情况:

RestClientTokenExchangeTokenResponseClient accessTokenResponseClient =
	new RestClientTokenExchangeTokenResponseClient();
accessTokenResponseClient.setParametersCustomizer(parameters -> {
	if (parameters.containsKey(OAuth2ParameterNames.CLIENT_ASSERTION)) {
		parameters.remove(OAuth2ParameterNames.CLIENT_ID);
	}
});

自定义访问令牌响应

RestClientTokenExchangeTokenResponseClient 提供了用于自定义 OAuth 2.0 访问令牌响应参数和错误处理的钩子。

自定义 RestClient

您可以通过向 setRestClient() 提供一个预配置的 RestClient 来自定义令牌响应。默认的 RestClient 配置如下:

RestClient restClient = RestClient.builder()
	.messageConverters(messageConverters -> {
		messageConverters.clear();
		messageConverters.add(new FormHttpMessageConverter());
		messageConverters.add(new OAuth2AccessTokenResponseHttpMessageConverter());
	})
	.defaultStatusHandler(new OAuth2ErrorResponseErrorHandler())
	.build();

RestClientTokenExchangeTokenResponseClient accessTokenResponseClient =
	new RestClientTokenExchangeTokenResponseClient();
accessTokenResponseClient.setRestClient(restClient);

OAuth2AccessTokenResponseHttpMessageConverter 是一个用于处理 OAuth 2.0 访问令牌响应的 HttpMessageConverter。您可以通过调用 setAccessTokenResponseConverter() 来自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换过程。默认实现为 DefaultMapOAuth2AccessTokenResponseConverter

OAuth2ErrorResponseErrorHandler 是一个 ResponseErrorHandler,能够处理 OAuth 2.0 错误,例如 400 Bad Request。它使用 OAuth2ErrorHttpMessageConverter 将 OAuth 2.0 错误参数转换为 OAuth2Error。您可以通过调用 setErrorConverter() 来自定义令牌响应参数到 OAuth2Error 的转换。

提示

需要 Spring MVC 的 FormHttpMessageConverter,因为在发送 OAuth 2.0 访问令牌请求时会用到它。

自定义响应参数

以下示例为自定义令牌响应参数到 OAuth2AccessTokenResponse 的转换提供了起点:

OAuth2AccessTokenResponseHttpMessageConverter accessTokenResponseMessageConverter =
	new OAuth2AccessTokenResponseHttpMessageConverter();
accessTokenResponseMessageConverter.setAccessTokenResponseConverter(parameters -> {
	// ...
	return OAuth2AccessTokenResponse.withToken("custom-token")
		// ...
		.build();
});

自定义错误处理

以下示例为自定义将 Error 参数转换为 OAuth2Error 提供了起点:

OAuth2ErrorHttpMessageConverter errorConverter =
	new OAuth2ErrorHttpMessageConverter();
errorConverter.setErrorConverter(parameters -> {
	// ...
	return new OAuth2Error("custom-error", "custom description", "custom-uri");
});

OAuth2ErrorResponseErrorHandler errorHandler =
	new OAuth2ErrorResponseErrorHandler();
errorHandler.setErrorConverter(errorConverter);

使用构建器进行自定义

无论您是自定义 RestClientTokenExchangeTokenResponseClient 还是提供自己的 OAuth2AccessTokenResponseClient 实现,都可以通过 OAuth2AuthorizedClientProviderBuilder 进行配置(作为发布 Bean 的替代方案),具体如下:

// Customize
OAuth2AccessTokenResponseClient<TokenExchangeGrantRequest> tokenExchangeTokenResponseClient = ...

TokenExchangeOAuth2AuthorizedClientProvider tokenExchangeAuthorizedClientProvider = new TokenExchangeOAuth2AuthorizedClientProvider();
tokenExchangeAuthorizedClientProvider.setAccessTokenResponseClient(tokenExchangeTokenResponseClient);

OAuth2AuthorizedClientProvider authorizedClientProvider =
		OAuth2AuthorizedClientProviderBuilder.builder()
				.provider(tokenExchangeAuthorizedClientProvider)
				.build();

// ...

authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

使用访问令牌

给定以下用于 OAuth 2.0 客户端注册的 Spring Boot 属性:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            authorization-grant-type: urn:ietf:params:oauth:grant-type:token-exchange
            scope: read
        provider:
          okta:
            token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token

…​以及 OAuth2AuthorizedClientManager @Bean

@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
		ClientRegistrationRepository clientRegistrationRepository,
		OAuth2AuthorizedClientRepository authorizedClientRepository) {

	TokenExchangeOAuth2AuthorizedClientProvider tokenExchangeAuthorizedClientProvider =
			new TokenExchangeOAuth2AuthorizedClientProvider();

	OAuth2AuthorizedClientProvider authorizedClientProvider =
			OAuth2AuthorizedClientProviderBuilder.builder()
					.provider(tokenExchangeAuthorizedClientProvider)
					.build();

	DefaultOAuth2AuthorizedClientManager authorizedClientManager =
			new DefaultOAuth2AuthorizedClientManager(
					clientRegistrationRepository, authorizedClientRepository);
	authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

	return authorizedClientManager;
}

您可以通过以下方式获取 OAuth2AccessToken

@RestController
public class OAuth2ResourceServerController {

	@Autowired
	private OAuth2AuthorizedClientManager authorizedClientManager;

	@GetMapping("/resource")
	public String resource(JwtAuthenticationToken jwtAuthentication) {
		OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
				.principal(jwtAuthentication)
				.build();
		OAuth2AuthorizedClient authorizedClient = this.authorizedClientManager.authorize(authorizeRequest);
		OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

		// ...

	}
}
备注

默认情况下,TokenExchangeOAuth2AuthorizedClientProvider 通过 OAuth2AuthorizationContext.getPrincipal().getPrincipal() 解析主体令牌(作为 OAuth2Token),因此在前面的示例中使用了 JwtAuthenticationToken。默认情况下,不解析执行者令牌。

提示

如果你需要从其他来源解析主体令牌,可以通过 TokenExchangeOAuth2AuthorizedClientProvider.setSubjectTokenResolver() 方法提供一个自定义的 Function<OAuth2AuthorizationContext, OAuth2Token>

提示

如果你需要解析一个委托者令牌(actor token),可以通过 TokenExchangeOAuth2AuthorizedClientProvider.setActorTokenResolver() 方法提供一个自定义的 Function<OAuth2AuthorizationContext, OAuth2Token>