Spring Security对不同的OAuth服务器的多次调用需要在SecurityContext中使用多个令牌

编程问答 2022-10-25

问题描述

我有一个spring应用程序,用于验证其余端点上的JWT令牌。

使用SecurityChain 

.oAuth2ResourceServer()
.jwt()

这似乎在JwtAuthenticationToken中创建了一个ReactiveSecurityContextHolder

然后,我想通过检查承载令牌从该端点对输入进行身份验证,从而对客户端进行身份验证。然后使用webClient呼叫另一个休息服务。该Web客户端需要使用其他OAuth服务器使用外部服务通过授予类型密码进行身份验证,并获取自己的承载令牌。

问题是Web客户端使用了包含经过身份验证的JWT的ReactiveSecurityContextHolder。并尝试使用此信息,而不是将我的应用连接到其余端点并对其进行身份验证。

我已经设置Yaml来注册我的客户

spring:
   security:
     oauth2:
       client:
         registration:
           Myapp:
             client-id:
             client-secret:
             token-uri:
             authorization-grant-type:

然后添加过滤器功能

ServerOAuth2AuthorizedClientExchangeFilterFunction

但是我得到principalName cannot be empty,因为它似乎可以通过在应用程序的其余端点上验证调用方来重用安全上下文。

应该如何设计它或显示示例,以显示如何使用不同的安全上下文或在服务与服务之间使用不同的令牌?

解决方法

您正确的认为ServerOAuth2AuthorizedClientExchangeFilterFunction的设计是基于当前授权的客户端的,您已经解释了在这种情况下不希望使用的客户端。

您已表明要使用客户端的凭据作为“资源所有者密码授予”的用户名和密码。但是,Spring Security并没有做到这一点。

但是,您可以直接使用WebClientReactivePasswordTokenResponseClient来自己制定自定义请求。

简而言之,这将是一个自定义的ExchangeFilterFunction,其外观类似于:

ClientRegistrationRespository clientRegistrations;
ReactiveOAuth2AccessTokenResponseClient<OAuth2PasswordGrantRequest> 
        accessTokenResponseClient = new WebClientReactivePasswordTokenResponseClient();

Mono<ClientResponse> filter(ClientRequest request,ExchangeFunction next) {
    return this.clientRegistrations.findByRegistrationId("registration-id")
        .map(clientRegistration -> new OAuth2PasswordGrantRequest(
                clientRegistration,clientRegistration.getClientId(),clientRegistration.getClientSecret())
        .map(this.accessTokenResponseClient::getTokenResponse)
        .map(tokenResponse -> ClientRequest.from(request)
            .headers(h -> h.setBearerAuth(tokenResponse.getAccessToken().getTokenValue())
            .build())
        .flatMap(next::exchange);
}

(为简便起见,我已删除了所有错误处理。)

上面的代码采取以下步骤:

  1. 查找适当的客户端注册-其中包含提供商的端点以及客户端ID和密码
  2. 使用客户端的ID和密码作为资源所有者的用户名和密码来构造OAuth2PasswordGrantRequest
  3. 使用WebClientReactivePasswordTokenResponseClient
    4. 执行请求
  4. 将访问令牌设置为请求的承载令牌
  5. 继续执行链中的下一个功能

请注意,要使用Spring Security的OAuth 2.0客户端功能,您还需要将应用程序配置为客户端。这意味着至少将您的DSL更改为除了.oauth2Client()之外还包括.oauth2ResourceServer()。这也意味着配置ClientRegistrationRepository。为了使我的评论重点放在过滤器功能上,我省略了该细节,但如有必要,我也乐于在此提供帮助。

oauth-2.0springspring-security-oauth2spring-webflux

相关问答

导入项目后报错问题
依赖报错 idea导入项目后依赖报错,解决方案:https://blog....
idea不能识别yaml文件
使用mybatis plus常见错误
错误1:代码生成器依赖和mybatis依赖冲突 启动项目时报错如下...
gradle常见问题与错误
错误1:gradle项目控制台输出为乱码 # 解决方案:https://bl...
Mybatis Plus传入参数0不起作用
错误还原:在查询的过程中,传入的workType为0时,该条件不起...
linux中make编译源码包失败
报错如下,gcc版本太低 ^ server.c:5346:31: 错误:‘struct...