授權用戶端功能

本節涵蓋 Spring Security 為 OAuth2 用戶端提供的其他功能。

解析授權用戶端

@RegisteredOAuth2AuthorizedClient 註解提供將方法參數解析為 OAuth2AuthorizedClient 型別引數值的能力。相較於使用 OAuth2AuthorizedClientManagerOAuth2AuthorizedClientService 存取 OAuth2AuthorizedClient,這是一種更方便的替代方案。以下範例示範如何使用 @RegisteredOAuth2AuthorizedClient

  • Java

  • Kotlin

@Controller
public class OAuth2ClientController {

	@GetMapping("/")
	public String index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
		OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

		...

		return "index";
	}
}
@Controller
class OAuth2ClientController {
    @GetMapping("/")
    fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): String {
        val accessToken = authorizedClient.accessToken

        ...

        return "index"
    }
}

@RegisteredOAuth2AuthorizedClient 註解由 OAuth2AuthorizedClientArgumentResolver 處理,後者直接使用 OAuth2AuthorizedClientManager,因此繼承其功能。

Servlet 環境的 WebClient 整合

OAuth 2.0 用戶端支援透過使用 ExchangeFilterFunctionWebClient 整合。

ServletOAuth2AuthorizedClientExchangeFilterFunction 提供一種機制,可透過使用 OAuth2AuthorizedClient 並將相關聯的 OAuth2AccessToken 作為 Bearer 令牌來請求受保護的資源。它直接使用 OAuth2AuthorizedClientManager,因此繼承以下功能

  • 如果用戶端尚未獲得授權,則會請求 OAuth2AccessToken

    • authorization_code:觸發授權請求重新導向以啟動流程。

    • client_credentials:直接從令牌端點取得存取令牌。

    • password:直接從令牌端點取得存取令牌。

  • 如果 OAuth2AccessToken 已過期,則在 OAuth2AuthorizedClientProvider 可用於執行授權時,會重新整理(或續訂)。

以下程式碼範例示範如何設定具有 OAuth 2.0 用戶端支援的 WebClient

  • Java

  • Kotlin

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
@Bean
fun webClient(authorizedClientManager: OAuth2AuthorizedClientManager?): WebClient {
    val oauth2Client = ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    return WebClient.builder()
            .apply(oauth2Client.oauth2Configuration())
            .build()
}

提供授權用戶端

ServletOAuth2AuthorizedClientExchangeFilterFunction 透過從 ClientRequest.attributes()(請求屬性)解析 OAuth2AuthorizedClient,來判斷要使用哪個用戶端(用於請求)。

以下程式碼示範如何將 OAuth2AuthorizedClient 設定為請求屬性

  • Java

  • Kotlin

@GetMapping("/")
public String index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
	String resourceUri = ...

	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(oauth2AuthorizedClient(authorizedClient))   (1)
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): String {
    val resourceUri: String = ...
    val body: String = webClient
            .get()
            .uri(resourceUri)
            .attributes(oauth2AuthorizedClient(authorizedClient)) (1)
            .retrieve()
            .bodyToMono()
            .block()

    ...

    return "index"
}
1 oauth2AuthorizedClient()ServletOAuth2AuthorizedClientExchangeFilterFunction 中的 static 方法。

以下程式碼示範如何將 ClientRegistration.getRegistrationId() 設定為請求屬性

  • Java

  • Kotlin

@GetMapping("/")
public String index() {
	String resourceUri = ...

	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(clientRegistrationId("okta"))   (1)
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}
@GetMapping("/")
fun index(): String {
    val resourceUri: String = ...

    val body: String = webClient
            .get()
            .uri(resourceUri)
            .attributes(clientRegistrationId("okta"))  (1)
            .retrieve()
            .bodyToMono()
            .block()

    ...

    return "index"
}
1 clientRegistrationId()ServletOAuth2AuthorizedClientExchangeFilterFunction 中的 static 方法。

以下程式碼示範如何將 Authentication 設定為請求屬性

  • Java

  • Kotlin

@GetMapping("/")
public String index() {
	String resourceUri = ...

	Authentication anonymousAuthentication = new AnonymousAuthenticationToken(
			"anonymous", "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(authentication(anonymousAuthentication))   (1)
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}
@GetMapping("/")
fun index(): String {
    val resourceUri: String = ...

    val anonymousAuthentication: Authentication = AnonymousAuthenticationToken(
            "anonymous", "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"))
    val body: String = webClient
            .get()
            .uri(resourceUri)
            .attributes(authentication(anonymousAuthentication))  (1)
            .retrieve()
            .bodyToMono()
            .block()

    ...

    return "index"
}
1 authentication()ServletOAuth2AuthorizedClientExchangeFilterFunction 中的 static 方法。
建議對此功能保持謹慎,因為所有 HTTP 請求都將收到繫結至所提供主體的存取令牌。

預設授權用戶端

如果未將 OAuth2AuthorizedClientClientRegistration.getRegistrationId() 作為請求屬性提供,則 ServletOAuth2AuthorizedClientExchangeFilterFunction 可以根據其組態判斷要使用的預設用戶端。

如果設定了 setDefaultOAuth2AuthorizedClient(true) 且使用者已使用 HttpSecurity.oauth2Login() 進行身份驗證,則會使用與目前 OAuth2AuthenticationToken 相關聯的 OAuth2AccessToken

以下程式碼示範特定組態

  • Java

  • Kotlin

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultOAuth2AuthorizedClient(true);
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
@Bean
fun webClient(authorizedClientManager: OAuth2AuthorizedClientManager?): WebClient {
    val oauth2Client = ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    oauth2Client.setDefaultOAuth2AuthorizedClient(true)
    return WebClient.builder()
            .apply(oauth2Client.oauth2Configuration())
            .build()
}

請對此功能保持謹慎,因為所有 HTTP 請求都會收到存取令牌。

或者,如果使用有效的 ClientRegistration 設定了 setDefaultClientRegistrationId("okta"),則會使用與 OAuth2AuthorizedClient 相關聯的 OAuth2AccessToken

以下程式碼示範特定組態

  • Java

  • Kotlin

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultClientRegistrationId("okta");
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
@Bean
fun webClient(authorizedClientManager: OAuth2AuthorizedClientManager?): WebClient {
    val oauth2Client = ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    oauth2Client.setDefaultClientRegistrationId("okta")
    return WebClient.builder()
            .apply(oauth2Client.oauth2Configuration())
            .build()
}

請對此功能保持謹慎,因為所有 HTTP 請求都會收到存取令牌。