授權用戶端

解析授權用戶端

@RegisteredOAuth2AuthorizedClient 註解提供了將方法參數解析為 OAuth2AuthorizedClient 型別引數值的 capability。相較於使用 ReactiveOAuth2AuthorizedClientManagerReactiveOAuth2AuthorizedClientService 存取 OAuth2AuthorizedClient,這是一種更方便的替代方案。

  • Java

  • Kotlin

@Controller
public class OAuth2ClientController {

	@GetMapping("/")
	public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
		return Mono.just(authorizedClient.getAccessToken())
				...
				.thenReturn("index");
	}
}
@Controller
class OAuth2ClientController {
    @GetMapping("/")
    fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
        return Mono.just(authorizedClient.accessToken)
                ...
                .thenReturn("index")
    }
}

@RegisteredOAuth2AuthorizedClient 註解由 OAuth2AuthorizedClientArgumentResolver 處理,後者直接使用 ReactiveOAuth2AuthorizedClientManager,因此繼承了其 capability。

適用於反應式環境的 WebClient 整合

OAuth 2.0 用戶端支援使用 ExchangeFilterFunctionWebClient 整合。

ServerOAuth2AuthorizedClientExchangeFilterFunction 提供了一種簡單的機制,透過使用 OAuth2AuthorizedClient 並包含相關聯的 OAuth2AccessToken 作為 Bearer 令牌來請求受保護的資源。它直接使用 ReactiveOAuth2AuthorizedClientManager,因此繼承了以下 capability

  • 如果用戶端尚未被授權,將會請求 OAuth2AccessToken

    • authorization_code - 觸發授權請求重新導向以啟動流程

    • client_credentials - 存取令牌直接從令牌端點取得

    • password - 存取令牌直接從令牌端點取得

  • 如果 OAuth2AccessToken 過期,如果 ReactiveOAuth2AuthorizedClientProvider 可用於執行授權,則將會重新整理(或更新)。

以下程式碼顯示如何使用 OAuth 2.0 用戶端支援組態 WebClient 的範例

  • Java

  • Kotlin

@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
	ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	return WebClient.builder()
			.filter(oauth2Client)
			.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
    val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    return WebClient.builder()
            .filter(oauth2Client)
            .build()
}

提供授權用戶端

ServerOAuth2AuthorizedClientExchangeFilterFunction 透過從 ClientRequest.attributes()(請求屬性)解析 OAuth2AuthorizedClient 來決定要使用的用戶端(用於請求)。

以下程式碼顯示如何將 OAuth2AuthorizedClient 設定為請求屬性

  • Java

  • Kotlin

@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
	String resourceUri = ...

	return webClient
			.get()
			.uri(resourceUri)
			.attributes(oauth2AuthorizedClient(authorizedClient))   (1)
			.retrieve()
			.bodyToMono(String.class)
			...
			.thenReturn("index");
}
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
    val resourceUri: String = ...

    return webClient
            .get()
            .uri(resourceUri)
            .attributes(oauth2AuthorizedClient(authorizedClient)) (1)
            .retrieve()
            .bodyToMono<String>()
            ...
            .thenReturn("index")
}
1 oauth2AuthorizedClient()ServerOAuth2AuthorizedClientExchangeFilterFunction 中的 static 方法。

以下程式碼顯示如何將 ClientRegistration.getRegistrationId() 設定為請求屬性

  • Java

  • Kotlin

@GetMapping("/")
public Mono<String> index() {
	String resourceUri = ...

	return webClient
			.get()
			.uri(resourceUri)
			.attributes(clientRegistrationId("okta"))   (1)
			.retrieve()
			.bodyToMono(String.class)
			...
			.thenReturn("index");
}
@GetMapping("/")
fun index(): Mono<String> {
    val resourceUri: String = ...

    return webClient
            .get()
            .uri(resourceUri)
            .attributes(clientRegistrationId("okta"))  (1)
            .retrieve()
            .bodyToMono<String>()
            ...
            .thenReturn("index")
}
1 clientRegistrationId()ServerOAuth2AuthorizedClientExchangeFilterFunction 中的 static 方法。

預設授權用戶端

如果沒有 OAuth2AuthorizedClientClientRegistration.getRegistrationId() 作為請求屬性提供,ServerOAuth2AuthorizedClientExchangeFilterFunction 可以根據其組態決定要使用的預設用戶端。

如果 setDefaultOAuth2AuthorizedClient(true) 已組態,且使用者已使用 ServerHttpSecurity.oauth2Login() 驗證,則會使用與目前 OAuth2AuthenticationToken 相關聯的 OAuth2AccessToken

以下程式碼顯示特定組態

  • Java

  • Kotlin

@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
	ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultOAuth2AuthorizedClient(true);
	return WebClient.builder()
			.filter(oauth2Client)
			.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
    val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    oauth2Client.setDefaultOAuth2AuthorizedClient(true)
    return WebClient.builder()
            .filter(oauth2Client)
            .build()
}
建議對此功能保持謹慎,因為所有 HTTP 請求都將接收存取令牌。

或者,如果 setDefaultClientRegistrationId("okta") 組態為有效的 ClientRegistration,則會使用與 OAuth2AuthorizedClient 相關聯的 OAuth2AccessToken

以下程式碼顯示特定組態

  • Java

  • Kotlin

@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
	ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultClientRegistrationId("okta");
	return WebClient.builder()
			.filter(oauth2Client)
			.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
    val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    oauth2Client.setDefaultClientRegistrationId("okta")
    return WebClient.builder()
            .filter(oauth2Client)
            .build()
}
建議對此功能保持謹慎,因為所有 HTTP 請求都將接收存取令牌。