跳到主要内容
版本:7.0.2

DeepSeek V3 中英对照 OAuth2 Authorized Clients #

授权客户端功能

本节将介绍 Spring Security 为 OAuth2 客户端提供的附加功能。

解决已授权的客户端

@RegisteredOAuth2AuthorizedClient 注解提供了将方法参数解析为 OAuth2AuthorizedClient 类型参数值的能力。与使用 OAuth2AuthorizedClientManagerOAuth2AuthorizedClientService 访问 OAuth2AuthorizedClient 相比,这是一种便捷的替代方案。以下示例展示了如何使用 @RegisteredOAuth2AuthorizedClient

@Controller
public class OAuth2ClientController {

	@GetMapping("/")
	public String index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
		OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

		...

		return "index";
	}
}

@RegisteredOAuth2AuthorizedClient 注解由 OAuth2AuthorizedClientArgumentResolver 处理,它直接使用 OAuth2AuthorizedClientManager,因此继承了其所有功能。

RestClient 集成

RestClient 的支持由 OAuth2ClientHttpRequestInterceptor 提供。该拦截器通过在出站请求的 Authorization 头部放置 Bearer 令牌,提供了发起受保护资源请求的能力。该拦截器直接使用 OAuth2AuthorizedClientManager,因此继承了以下功能:

  • 如果客户端尚未获得授权,则执行 OAuth 2.0 访问令牌请求以获取 OAuth2AccessToken

    • authorization_code:触发授权请求重定向以启动流程

    • client_credentials:直接从令牌端点获取访问令牌

    • 通过启用扩展授权类型支持其他授权类型

  • 如果现有的 OAuth2AccessToken 已过期,则对其进行刷新(或续订)

以下示例使用默认的 OAuth2AuthorizedClientManager 来配置一个 RestClient,该客户端能够通过在每个请求的 Authorization 头部放置 Bearer 令牌来访问受保护资源:

@Configuration
public class RestClientConfig {

	@Bean
	public RestClient restClient(OAuth2AuthorizedClientManager authorizedClientManager) {
		OAuth2ClientHttpRequestInterceptor requestInterceptor =
				new OAuth2ClientHttpRequestInterceptor(authorizedClientManager);

		return RestClient.builder()
				.requestInterceptor(requestInterceptor)
				.build();
	}

}

提供 clientRegistrationId

OAuth2ClientHttpRequestInterceptor 使用 ClientRegistrationIdResolver 来确定使用哪个客户端来获取访问令牌。默认情况下,RequestAttributeClientRegistrationIdResolver 用于从 HttpRequest#attributes() 中解析 clientRegistrationId

以下示例演示了如何通过属性提供 clientRegistrationId

import static org.springframework.security.oauth2.client.web.client.RequestAttributeClientRegistrationIdResolver.clientRegistrationId;

@Controller
public class ResourceController {

	private final RestClient restClient;

	public ResourceController(RestClient restClient) {
		this.restClient = restClient;
	}

	@GetMapping("/")
	public String index() {
		String resourceUri = "...";

		String body = this.restClient.get()
				.uri(resourceUri)
				.attributes(clientRegistrationId("okta"))   1
				.retrieve()
				.body(String.class);

		// ...

		return "index";
	}

}

  • clientRegistrationId()RequestAttributeClientRegistrationIdResolver 类中的一个 static 方法。

或者,也可以提供一个自定义的 ClientRegistrationIdResolver。以下示例配置了一个自定义实现,该实现从当前用户解析 clientRegistrationId

@Configuration
public class RestClientConfig {

	@Bean
	public RestClient restClient(OAuth2AuthorizedClientManager authorizedClientManager) {
		OAuth2ClientHttpRequestInterceptor requestInterceptor =
				new OAuth2ClientHttpRequestInterceptor(authorizedClientManager);
		requestInterceptor.setClientRegistrationIdResolver(clientRegistrationIdResolver());

		return RestClient.builder()
				.requestInterceptor(requestInterceptor)
				.build();
	}

	private static ClientRegistrationIdResolver clientRegistrationIdResolver() {
		return (request) -> {
			Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
			return (authentication instanceof OAuth2AuthenticationToken principal)
					? principal.getAuthorizedClientRegistrationId() : null;
		};
	}

}

提供 principal

OAuth2ClientHttpRequestInterceptor 使用 PrincipalResolver 来确定与访问令牌关联的主体名称,这允许应用程序选择如何限定存储的 OAuth2AuthorizedClient 的范围。默认情况下,使用 SecurityContextHolderPrincipalResolverSecurityContextHolder 中解析当前的 principal

或者,通过配置 RequestAttributePrincipalResolver,可以从 HttpRequest#attributes() 中解析出 principal,如下例所示:

@Configuration
public class RestClientConfig {

	@Bean
	public RestClient restClient(OAuth2AuthorizedClientManager authorizedClientManager) {
		OAuth2ClientHttpRequestInterceptor requestInterceptor =
				new OAuth2ClientHttpRequestInterceptor(authorizedClientManager);
		requestInterceptor.setPrincipalResolver(new RequestAttributePrincipalResolver());

		return RestClient.builder()
				.requestInterceptor(requestInterceptor)
				.build();
	}

}

以下示例演示了通过属性提供 principal 名称,将 OAuth2AuthorizedClient 的作用域限定为应用程序而非当前用户:

import static org.springframework.security.oauth2.client.web.client.RequestAttributeClientRegistrationIdResolver.clientRegistrationId;
import static org.springframework.security.oauth2.client.web.client.RequestAttributePrincipalResolver.principal;

@Controller
public class ResourceController {

	private final RestClient restClient;

	public ResourceController(RestClient restClient) {
		this.restClient = restClient;
	}

	@GetMapping("/")
	public String index() {
		String resourceUri = "...";

		String body = this.restClient.get()
				.uri(resourceUri)
				.attributes(clientRegistrationId("okta"))
				.attributes(principal("my-application"))   1
				.retrieve()
				.body(String.class);

		// ...

		return "index";
	}

}

  • principal()RequestAttributePrincipalResolver 中的一个 static 方法。

处理失败

如果访问令牌因任何原因无效(例如令牌过期),通过移除该访问令牌来处理失败是有益的,这样可以防止其被再次使用。你可以通过提供一个 OAuth2AuthorizationFailureHandler 来自动设置拦截器执行此操作,以移除访问令牌。

以下示例使用 OAuth2AuthorizedClientRepository 来配置一个 OAuth2AuthorizationFailureHandler,该处理器会在 HttpServletRequest 的上下文中移除无效的 OAuth2AuthorizedClient

@Configuration
public class RestClientConfig {

	@Bean
	public RestClient restClient(OAuth2AuthorizedClientManager authorizedClientManager,
			OAuth2AuthorizedClientRepository authorizedClientRepository) {

		OAuth2ClientHttpRequestInterceptor requestInterceptor =
				new OAuth2ClientHttpRequestInterceptor(authorizedClientManager);

		OAuth2AuthorizationFailureHandler authorizationFailureHandler =
			OAuth2ClientHttpRequestInterceptor.authorizationFailureHandler(authorizedClientRepository);
		requestInterceptor.setAuthorizationFailureHandler(authorizationFailureHandler);

		return RestClient.builder()
				.requestInterceptor(requestInterceptor)
				.build();
	}

}

或者,也可以在 HttpServletRequest 上下文之外使用 OAuth2AuthorizedClientService 来移除无效的 OAuth2AuthorizedClient,如下例所示:

@Configuration
public class RestClientConfig {

	@Bean
	public RestClient restClient(OAuth2AuthorizedClientManager authorizedClientManager,
			OAuth2AuthorizedClientService authorizedClientService) {

		OAuth2ClientHttpRequestInterceptor requestInterceptor =
				new OAuth2ClientHttpRequestInterceptor(authorizedClientManager);

		OAuth2AuthorizationFailureHandler authorizationFailureHandler =
			OAuth2ClientHttpRequestInterceptor.authorizationFailureHandler(authorizedClientService);
		requestInterceptor.setAuthorizationFailureHandler(authorizationFailureHandler);

		return RestClient.builder()
				.requestInterceptor(requestInterceptor)
				.build();
	}

}

HTTP 服务客户端

Spring Security 的 OAuth 支持集成了 HTTP 服务客户端集成

适用于Servlet环境的WebClient集成

OAuth 2.0 客户端支持通过使用 ExchangeFilterFunctionWebClient 集成。

ServletOAuth2AuthorizedClientExchangeFilterFunction 提供了一种通过使用 OAuth2AuthorizedClient 并包含关联的 OAuth2AccessToken 作为 Bearer 令牌来请求受保护资源的机制。它直接使用 OAuth2AuthorizedClientManager,因此继承了以下功能:

  • 如果客户端尚未获得授权,则会请求一个 OAuth2AccessToken

    • authorization_code:触发授权请求重定向以启动流程。
    • client_credentials:直接从令牌端点获取访问令牌。

  • 如果 OAuth2AccessToken 已过期,并且有可用的 OAuth2AuthorizedClientProvider 来执行授权,则会刷新(或续订)该令牌。

以下代码展示了如何配置支持 OAuth 2.0 客户端的 WebClient 示例:

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}

提供已授权的客户端

ServletOAuth2AuthorizedClientExchangeFilterFunction 通过从 ClientRequest.attributes()(请求属性)中解析 OAuth2AuthorizedClient 来确定(针对某个请求)要使用的客户端。

以下代码展示了如何将 OAuth2AuthorizedClient 设置为请求属性:

@GetMapping("/")
public String index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
	String resourceUri = ...

	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(oauth2AuthorizedClient(authorizedClient))   1
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}

  • oauth2AuthorizedClient()ServletOAuth2AuthorizedClientExchangeFilterFunction 中的一个 static 方法。

以下代码展示了如何将 ClientRegistration.getRegistrationId() 设置为请求属性:

@GetMapping("/")
public String index() {
	String resourceUri = ...

	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(clientRegistrationId("okta"))   1
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}

  • clientRegistrationId()ServletOAuth2AuthorizedClientExchangeFilterFunction 中的一个 static 方法。

以下代码展示了如何将 Authentication 设置为请求属性:

@GetMapping("/")
public String index() {
	String resourceUri = ...

	Authentication anonymousAuthentication = new AnonymousAuthenticationToken(
			"anonymous", "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(authentication(anonymousAuthentication))   1
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}

  • authentication()ServletOAuth2AuthorizedClientExchangeFilterFunction 中的一个 static 方法。

注意

建议谨慎使用此功能,因为所有 HTTP 请求都将收到一个绑定到所提供主体的访问令牌。

默认授权客户端

如果请求属性中既未提供 OAuth2AuthorizedClient 也未提供 ClientRegistration.getRegistrationId()ServletOAuth2AuthorizedClientExchangeFilterFunction 可以根据其配置决定要使用的默认客户端。

如果配置了 setDefaultOAuth2AuthorizedClient(true) 且用户已通过 HttpSecurity.oauth2Login() 完成认证,系统将使用与当前 OAuth2AuthenticationToken 关联的 OAuth2AccessToken

以下代码展示了具体配置:

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultOAuth2AuthorizedClient(true);
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
注意

请谨慎使用此功能,因为所有 HTTP 请求都会接收到访问令牌。

或者,如果配置了 setDefaultClientRegistrationId("okta") 并指定了有效的 ClientRegistration,则会使用与 OAuth2AuthorizedClient 关联的 OAuth2AccessToken

以下代码展示了具体配置:

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultClientRegistrationId("okta");
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
注意

请谨慎使用此功能,因为所有 HTTP 请求都会接收访问令牌。