授權客戶端功能
本節介紹 Spring Security 為 OAuth2 Client 提供的其他功能特性。
解析授權客戶端
@RegisteredOAuth2AuthorizedClient 註解提供了將方法引數解析為 OAuth2AuthorizedClient 型別引數值的功能。與使用 ReactiveOAuth2AuthorizedClientManager 或 ReactiveOAuth2AuthorizedClientService 訪問 OAuth2AuthorizedClient 相比,這是一種更便捷的選擇。
-
Java
-
Kotlin
@Controller
public class OAuth2ClientController {
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
return Mono.just(authorizedClient.getAccessToken())
...
.thenReturn("index");
}
}@Controller
class OAuth2ClientController {
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
return Mono.just(authorizedClient.accessToken)
...
.thenReturn("index")
}
}@RegisteredOAuth2AuthorizedClient 註解由 OAuth2AuthorizedClientArgumentResolver 處理,它直接使用 ReactiveOAuth2AuthorizedClientManager 並因此繼承其能力。
響應式環境下的 WebClient 整合
OAuth 2.0 Client 支援透過使用 ExchangeFilterFunction 與 WebClient 整合。
ServerOAuth2AuthorizedClientExchangeFilterFunction 提供了一種簡單機制,透過使用 OAuth2AuthorizedClient 幷包含關聯的 OAuth2AccessToken 作為持有者令牌來請求受保護資源。它直接使用 ReactiveOAuth2AuthorizedClientManager 並因此繼承以下能力:
-
如果客戶端尚未獲得授權,將請求
OAuth2AccessToken。-
authorization_code- 觸發授權請求重定向以啟動流程 -
client_credentials- 訪問令牌直接從令牌端點獲取 -
password- 訪問令牌直接從令牌端點獲取
-
-
如果
OAuth2AccessToken過期,並且有ReactiveOAuth2AuthorizedClientProvider可用來執行授權,則會重新整理(或續訂)它
以下程式碼展示瞭如何配置支援 OAuth 2.0 Client 的 WebClient 示例
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
return WebClient.builder()
.filter(oauth2Client)
.build();
}@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
return WebClient.builder()
.filter(oauth2Client)
.build()
}提供授權客戶端
ServerOAuth2AuthorizedClientExchangeFilterFunction 透過從 ClientRequest.attributes()(請求屬性)解析 OAuth2AuthorizedClient 來確定要使用的客戶端(對於請求)。
以下程式碼展示瞭如何將 OAuth2AuthorizedClient 設定為請求屬性
-
Java
-
Kotlin
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) (1)
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) (1)
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}| 1 | oauth2AuthorizedClient() 是 ServerOAuth2AuthorizedClientExchangeFilterFunction 中的一個 static 方法。 |
以下程式碼展示瞭如何將 ClientRegistration.getRegistrationId() 設定為請求屬性
-
Java
-
Kotlin
@GetMapping("/")
public Mono<String> index() {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) (1)
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}@GetMapping("/")
fun index(): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) (1)
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}| 1 | clientRegistrationId() 是 ServerOAuth2AuthorizedClientExchangeFilterFunction 中的一個 static 方法。 |
預設授權客戶端
如果請求屬性中未提供 OAuth2AuthorizedClient 或 ClientRegistration.getRegistrationId(),ServerOAuth2AuthorizedClientExchangeFilterFunction 可以根據其配置確定要使用的預設客戶端。
如果配置了 setDefaultOAuth2AuthorizedClient(true),並且使用者已使用 ServerHttpSecurity.oauth2Login() 進行認證,則使用當前 OAuth2AuthenticationToken 關聯的 OAuth2AccessToken。
以下程式碼展示了具體的配置
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultOAuth2AuthorizedClient(true);
return WebClient.builder()
.filter(oauth2Client)
.build();
}@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultOAuth2AuthorizedClient(true)
return WebClient.builder()
.filter(oauth2Client)
.build()
}|
建議謹慎使用此功能,因為所有 HTTP 請求都將接收訪問令牌。 |
或者,如果使用有效的 ClientRegistration 配置了 setDefaultClientRegistrationId("okta"),則使用與 OAuth2AuthorizedClient 關聯的 OAuth2AccessToken。
以下程式碼展示了具體的配置
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultClientRegistrationId("okta");
return WebClient.builder()
.filter(oauth2Client)
.build();
}@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultClientRegistrationId("okta")
return WebClient.builder()
.filter(oauth2Client)
.build()
}|
建議謹慎使用此功能,因為所有 HTTP 請求都將接收訪問令牌。 |
