spring-security - 如何在 Spring Security 中配置资源服务器以使用 JWT token 中的附加信息-6ren

spring-security - 如何在 Spring Security 中配置资源服务器以使用 JWT token 中的附加信息

转载作者：行者123 更新时间：2023-12-04 02:22:32

我有一个 oauth2 jwt token 服务器配置为设置有关用户权限的附加信息。

@Configuration
@Component
public class CustomTokenEnhancer extends JwtAccessTokenConverter {

    CustomTokenEnhancer(){
        super();
    }

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        // TODO Auto-generated method stub
        MyUserDetails user = (MyUserDetails) authentication.getPrincipal();
        final Map<String, Object> additionalInfo = new HashMap<>();
        @SuppressWarnings("unchecked")
        List<GrantedAuthority> authorities= (List<GrantedAuthority>) user.getAuthorities();
        additionalInfo.put("authorities", authorities);

        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);

        return accessToken;
    }

}

我不确定如何配置我的资源服务器以提取由 oauth2 服务器设置的用户权限，并将该权限用于 Spring Security 框架中的 @Secured 注释 Controller 。

我的身份验证服务器配置如下所示:

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Value("${config.oauth2.privateKey}")
    private String privateKey;

    @Value("${config.oauth2.publicKey}")
    private String publicKey;

    @Value("{config.clienturl}")
    private String clientUrl;

    @Autowired
    AuthenticationManager authenticationManager;

    @Bean
    public JwtAccessTokenConverter customTokenEnhancer(){

        JwtAccessTokenConverter customTokenEnhancer = new CustomTokenEnhancer();
        customTokenEnhancer.setSigningKey(privateKey);

        return customTokenEnhancer;
    }

    @Bean
    public JwtTokenStore tokenStore() {
        return new JwtTokenStore(customTokenEnhancer());
    }


    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer
                .tokenKeyAccess("isAnonymous() || hasRole('ROLE_TRUSTED_CLIENT')") // permitAll()
                .checkTokenAccess("hasRole('TRUSTED_CLIENT')"); // isAuthenticated()
    }


    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints


        .authenticationManager(authenticationManager)
        .tokenStore(tokenStore())
        .accessTokenConverter(customTokenEnhancer())
;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        String url = clientUrl;

        clients.inMemory()


        .withClient("public") 
        .authorizedGrantTypes("client_credentials", "implicit")
        .scopes("read")
        .redirectUris(url)

        .and()


        .withClient("eagree_web").secret("eagree_web_dev")
        //eagree_web should come from properties file?
        .authorities("ROLE_TRUSTED_CLIENT") 
        .authorizedGrantTypes("client_credentials", "password", "authorization_code", "refresh_token")
        .scopes("read", "write", "trust") 
        .redirectUris(url).resourceIds("dummy");
    }
}

我的资源服务器配置如下所示:

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration  extends ResourceServerConfigurerAdapter {



    @Value("{config.oauth2.publicKey}")
    private String publicKey;

    @Autowired
    CustomTokenEnhancer tokenConverter;

    @Autowired
    JwtTokenStore jwtTokenStore;

    @Bean
    public JwtTokenStore jwtTokenStore() {
        tokenConverter.setVerifierKey(publicKey);
        jwtTokenStore.setTokenEnhancer(tokenConverter);
        return jwtTokenStore;
    }

    @Bean
    public ResourceServerTokenServices defaultTokenServices() {
        final DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenEnhancer(tokenConverter);
        defaultTokenServices.setTokenStore(jwtTokenStore());
        return defaultTokenServices;
    }


    @Override
    public void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        // @formatter:off
        http
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER)
                .and()
                .requestMatchers()
                .antMatchers("/**")
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/api/**").permitAll()
                .antMatchers(HttpMethod.GET, "/api/**").access("#oauth2.hasScope('read')")
                .antMatchers(HttpMethod.PATCH, "/api/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.POST, "/api/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PUT, "/api/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.DELETE, "/api/**").access("#oauth2.hasScope('write')")
                .antMatchers("/admin/**").access("hasRole('ROLE_USER')");

        // @formatter:on
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        System.out.println("Configuring ResourceServerSecurityConfigurer ");
        resources.resourceId("dummy").tokenServices(defaultTokenServices());
    }

}

我的测试用例惨遭失败，说:

{"error":"invalid_token","error_description":"无法将访问 token 转换为 JSON"}

如何从 JWT 中获取 Authentication 对象？
如何使用客户端凭据对客户端进行身份验证？
如何在我的资源 Controller 上使用 @Secured 注释？

资源服务器端用什么code对token进行顺序解码
提取客户端凭据和验证用户角色的代码是什么？

请帮忙，因为我已经花了 2 天的时间来解决这个问题
容易的任务。

注意:我从身份验证服务器收到 token :
{access_token=b5d89a13-3c8b-4bda-b0f2-a6e9d7b7a285，token_type=bearer，refresh_token=43777224-b6f2-44d7-bf36-4e1934d32cbb，expires write99ity,author=43 =ROLE_ADMIN}]}

请解释这些概念并指出我的配置中是否缺少任何内容。我需要知道配置我的资源和身份验证服务器的最佳实践。

最佳答案

在下面我指的是我已经成功实现的这个 Baeldung 教程:http://www.baeldung.com/spring-security-oauth-jwt

首先:在 AuthorizationServer 端使用 CustomTokenEnhancer 以使用附加自定义信息增强创建的 token 。您应该在 ResourceServer 端使用所谓的 DefaultAccessTokenConverter 来提取这些额外的声明。

您可以 @Autowire将 CustomAccessTokenConverter 放入您的 ResourceServerConfiguration 类，然后将其设置为您的 JwtTokenStore()配置。

资源服务器配置:

@Autowired
private CustomAccessTokenConverter yourCustomAccessTokenConverter;

@Bean
public TokenStore tokenStore() {
    return new JwtTokenStore(accessTokenConverter());
}

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setAccessTokenConverter(yourCustomAccessTokenConverter);
    converter.setSigningKey(yourSigningKey);
    return converter;
}

可以配置 CustomAccessTokenConverter，以便在此处提取自定义声明。

自定义访问 token 转换器:

@Component
public class CustomAccessTokenConverter extends DefaultAccessTokenConverter {

    @Override
    public OAuth2Authentication extractAuthentication(Map<String, ?> claims) {
        OAuth2Authentication authentication = super.extractAuthentication(claims);
        authentication.setDetails(claims);
        return authentication;
    }

}

(见: https://github.com/Baeldung/spring-security-oauth/blob/master/oauth-resource-server-1/src/main/java/org/baeldung/config/CustomAccessTokenConverter.java)

关于spring-security - 如何在 Spring Security 中配置资源服务器以使用 JWT token 中的附加信息，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/37026981/

文章推荐： webpack - 排除 webpack 加载器中的目录

文章推荐： wpf - 在 wpf 中滚动查看器调整大小(右下角)

文章推荐： powershell - Powershell 中所有进程的 CPU 和内存使用率百分比

ruby-on-rails - 资源 vs 资源 rails 3
有人告诉我，如果我只有一个“东西”，比如家(不是多个家)，我应该在 routes.rb 中使用资源 :home，而不是资源 :home。但是当我查看路由时，POST 函数似乎想要 home#creat
java - 资源 <资源 ID 的编号> 类型 0x12 无效
Activity 开始。这些代码框架顺利通过。 // Initialize array adapters. One for already paired devices and //
183、故障排除和调试HBase：资源
资源 search-hadoop.com search-hadoop.com索引所有邮件列表，非常适合历史搜索。当你遇到问题时首先在这里搜索，因为很可能有人已经遇到了你的问题。邮件列表在A
WPF - 使用来自另一个程序集的样式/资源
我是 WPF 的新手，正在努力使用位于单独程序集中的样式。这就是我正在做的:- 我有一个带有\Themes 文件夹的类库项目，其中包含一个“generic.xaml”，它合并了\Themes 内的子文
Eclipse - "Virtual"资源
我正在编写一个使用虚拟树状文件结构的插件。基本上它就像一个包含文件的标准文件系统，区别在于这些文件实际上并不存在于文件系统中的特定位置，而只是 java 对象。这些当前由使用 SettingProv
找不到 WPF 资源
如果我在 XAML 中使用以下内容，我会收到错误消息: 错
Laravel 资源 - 如何检查给定值是否存在？
我正在使用 laravel 资源来获取 api 的数据: return [ 'id' => $this->id, 'unread' =>
使用配置文件属性过滤 Maven 资源
我有以下 pom.xml: 4.0.0 mycompany resource-fail 0.0.1-SNAPSHOT BazBat
.net - 您何时处置GDI +资源？
许多GDI +类都实现IDisposable，但是我不确定何时应该调用Dispose。对于使用new或静态方法(例如Graphics.CreateGraphics)创建的实例来说，这很明显。但是，由属
RESTful 资源 - 接受对象列表
我正在构建一组 RESTful 资源，其工作方式如下:(我将使用“people”作为示例): 获取/people/{key} - 返回一个人对象 (JSON) GET/people?first_nam
iphone - Cocos2d 资源
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，因为
AngularJS 资源 promise
我有一个使用 $resource 的简单 Controller : var Regions = $resource('mocks/regions.json'); $scope.regions =
使用存储的 Azure 资源
在 Azure 门户中，如何查看不同资源之间的依赖关系。我特别想查看哪些资源正在使用我要删除的存储。最佳答案您可以使用应用程序洞察应用程序 map 来执行此操作: 您还可以打开存储帐户的日志记录:
Cordova / ionic 资源
我正在使用 ionic 生成资源(图标和启动画面)。我正在使用 ionic v2.1.0 和 cordova v6.4.0。到目前为止我一直在使用(它在以前的版本中工作): cordova plat
子文件夹中的 FuelPHP 资源
是否可以使用 Assets 包含子文件夹中的文件？示例:[base_url]/assets/css/pepper-grinder/jquery-ui-1.8.11.custom.min.css 最佳
java - 资源/目录树
我正在阅读一些尝试教授 Android 开发的书。在书中，作者概述了 res/下的一些目录。他提到 res/menu 包含基于 XML 的菜单规范。他还提到了保存“通用文件”的 res/raw。当我创
java - JDBC 资源
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
AngularJS 资源 : how to update
我在服务器上使用 express-resource。在我的 AngularJS Controller 中: var User = $resource('/services/users/:use
java - 资源$NotFoundException
因此，每当我运行我的应用程序时，它都会立即崩溃并给出以下错误: No package identifier when getting value for resource number 0x00000
使用基本身份验证加载 UIWebView 资源
对于我正在创建的(网络)应用程序，我需要使用基本身份验证在我的 UIWebView 中加载页面。现在设置我使用的授权 header : NSString *result = [NSString st

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

spring-security - 如何在 Spring Security 中配置资源服务器以使用 JWT token 中的附加信息