gpt4 book ai didi

spring-security-oauth2 - 如何访问 token 附加信息以验证基于表达式的访问控制

转载 作者:行者123 更新时间:2023-12-04 08:40:39 27 4
gpt4 key购买 nike

我通过实现 TokenEnhancer 成功地在授权服务器端添加了关于生成 token 的 user_id 附加信息。这是生成的 token :


{"access_token":"ccae1713-00d4-49c2-adbf-e699c525d53e","token_type":"bearer","expires_in":31512,"scope":"end-user","user_id":2}

现在,在资源服务器端,这是一个完全独立的 spring 项目,通过 RemoteTokenServices 进行通信,我想将这些信息与方法 基于表达式的访问控制一起使用>。例如,我想使用添加的 user_id 数据(它是用于 Spring Data Rest 的 Spring Data JPA 存储库):


@PreAuthorize("#oauth2.hasScope('admin') 或 #id == authentication.principal.user_id")
@覆盖
UserAccount findOne (@P("id") 整数 id);

#oauth2.hasScope('admin') 按预期工作,但 #id == authentication.principal.user_id" 部分显然不行。

如何在基于表达式的访问控制中访问添加到 token 的附加数据?

最佳答案

所以我找到了自己。关键接口(interface)是UserAuthenticationConverter .

使用默认提供的 DefaultUserAuthenticationConverter类,我们可以设置一个UserDetailsService用于设置authentication.principal使用 UserDetailsS​​ervice 返回的 UserDetail 对象。没有它, authentication.principal 仅使用 token 用户名作为字符串设置。

这是我的 ResourceServerConfigAdapter 的摘录:

@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration
extends ResourceServerConfigurerAdapter {

@Bean
UserDetailsService userDetailsService () {
return new UserDetailsServiceImpl();
}

@Bean
public UserAuthenticationConverter userAuthenticationConverter () {
DefaultUserAuthenticationConverter duac
= new DefaultUserAuthenticationConverter();
duac.setUserDetailsService(userDetailsService());
return duac;
}

@Bean
public AccessTokenConverter accessTokenConverter() {
DefaultAccessTokenConverter datc
= new DefaultAccessTokenConverter();
datc.setUserTokenConverter(userAuthenticationConverter());
return datc;
}

@Bean
RemoteTokenServices getRemoteTokenServices () {
RemoteTokenServices rts = new RemoteTokenServices();
rts.setCheckTokenEndpointUrl(
"http://localhost:15574/oauth/check_token");
rts.setAccessTokenConverter(accessTokenConverter());
rts.setClientId("client");
rts.setClientSecret("pass");
return rts;
}

...

}

另一种方法是覆盖 DefaultUserAuthenticationManager 并提供自定义 public Authentication extractAuthentication(Map<String, ?> map) .

完成后,我们可以使用 expression-based access control 上的用户数据像这样:

@PreAuthorize("#oauth2.hasScope('admin') or #id == authentication.principal.userAccount.id")
@Override
UserAccount findOne (@P("id") Integer id);

请注意 userAccount是我原来的 DOMAIN 用户对象。它可能是 UserDetailsS​​ervice 返回的所有内容。

编辑:为了回答 Valentin Despa,这是我的 UserDetailsS​​ervice 实现:

@Component
public class UserDetailsServiceImpl implements UserDetailsService {

@Autowired
UserAccountRepository userAccountRepository;

public UserDetails loadUserByUsername (String username)
throws UsernameNotFoundException {

// Fetch user from repository
UserAccount ua = this.userAccountRepository
.findByEmail(username);

// If nothing throws Exception
if (ua == null) {
throw new UsernameNotFoundException(
"No user found having this username");
}

// Convert it to a UserDetails object
return new UserDetailsImpl(ua);

}

}

关于spring-security-oauth2 - 如何访问 token 附加信息以验证基于表达式的访问控制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38655967/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com