oauth2 sso oauth2怎么生成token spring oauth2四种实现代码

本文将指导我们如何在Spring OAuth2资源服务器中为特定端点实现自定义令牌授权。将探讨如何利用JWT的声明、Keycloak的Mapper功能以及Spring Security的扩展点（如jwtAuthenticationConverter和自定义AbstractAuthenticationToken），以构建一套灵活且强大的授权机制。此外，进一步介绍如何通过客户端授权流程（Client Credentials） Flow）认证受信任的客户端，实现无用户上下文的访问控制。1. 挑战与核心理念：扩展Spring OAuth2资源服务器的授权能力

在基于Spring OAuth2的资源服务器中，通常使用JWT（JSON Web Token）进行认证，并通过发行者URI（发行者URI）验证令牌的合法性。默认情况下，Spring安全性会从JWT中提取标准声明（如范围、角色）来构建授权信息。然而，在某些业务场景下，我们需要对特定的API端点实施更精细或增加业务逻辑的自定义授权规则，例如，根据用户的订阅状态、特定权限或内部系统角色进行访问控制。

面对这种需求，直接在资源服务器中硬编码令牌或创建独立的登录自定义流程并不是最佳实践。更推荐的方法是将所有必要的访问控制数据封装在JWT的内部声明中。这样，授权服务器（如Keycloak）授权生成包含这些信息的令牌，而资源服务器则负责解析并利用这些信息进行决策。2. 利用JWT声明和Keycloak Mapper实现细粒度授权

将自定义授权数据嵌入JWT是实现灵活授权的关键。这就要求授权服务器具备将业务数据添加到JWT的能力。2.1授权服务器（Keycloak）配置：添加自定义声明

Keycloak提供了“Mapper”机制，允许开发者在用户登录或客户端获取令牌时，将用户属性、角色、组或其他自定义数据映射到JWT的谨慎声明中。

实施步骤：定义自定义数据源：如果自定义数据（例如“玩家订阅信息”）不在Keycloak的默认用户属性中，您可能需要：创建一个REST API来公开这些数据（例如，一个查询特定玩家订阅状态的GET请求）。在Keycloak中声明一个“机密客户端”（Confidential Client），并指定指定专门的角色，以便它可以通过客户端权限流（Client Credentials Flow）安全地访问上述REST API。创建Keycloak Mapper：开发一个自定义Keycloak这个Mapper会在用户登录时被触发，它可以使用声明的机密客户端，通过客户端请求之前流获取一个访问令牌，然后利用该令牌调用自定义REST API来获取外部玩家订阅数据。将获取到的数据作为隐私声明（例如player_subscriptions）添加到用户的访问令牌中。

示例：Keycloak Mapper概念

假设我们有一个PlayerSubscriptionMapper，用户在登录时有一个查询服务/api/subscriptions/{userId}，将返回的订阅信息添加到JWT中。

// 示例JWT Payload，包含自定义声明{ quot；subquot；： quot；user123quot；， quot；issquot；： quot；http：//localhost：8080/auth/realms/myrealmquot；， quot；expquot；： 1678886400， quot；iatquot；： 1678882800， quot；preferred_usernamequot；： quot；john.doequot；， quot；realm_accessquot；： { quot；rolesquot；： [quot；Userquot；， quot；Clientquot；] }， quot；player_subscriptionsquot；： [ // 自定义声明 { quot；typequot；： quot；premiumquot；， quot；valid_untilquot；： quot；2024-12-31quot； }， { quot；typequot；： ”；游戏通行证”；， quot；valid_untilquot；： quot；2023-06-15quot； } ]}登录后复制2.2资源服务器（Spring Security）配置：消费自定义声明

在资源服务器端，我们需要配置Spring Security来解析这些自定义声明，然后将其转换为Spring安全性可以理解的授权对象。

自定义JwtAuthenticationConverter：您已经使用了jwtAuthenticationConverter来转换JWT中的角色。这是集成自定义声明的关键扩展点。您可以修改或创建一个新的Converterlt；Jwt，？延伸AbstractAuthenticationTokengt；实现。

在这个转换器中，您可以：从Jwt对象中获取自定义声明（例如player_subscriptions）。根据这些声明创建您自己的AbstractAuthenticationToken实现。

创建自定义AbstractAuthenticationToken：为了更好地封装授权逻辑并提高代码持有性，建议创建一个自定义的AbstractAuthenticationToken子类。这个自定义网关可以解析后面的自定义数据，并提供便捷的方法来检查特定权限或状态。

// 示例：自定义PlayerAuthenticationTokenclass PlayerAuthenticationToken( valprincipal： String， // 用户名或其他标识 val jwt： Jwt， val playerSubscriptions： Listlt；Subscriptiongt；， // 从JWT中解析出的自定义数据authorities： Collectionlt；GrantedAuthoritygt；) ： AbstractAuthenticationToken(authorities) { init { isAuthenticated = true } override fun getCredentials()： Any = jwt.tokenValue override fun getPrincipal()： Any = 主体 fun hasPremiumSubscription()： Boolean { return playerSubscriptions.any { it.type == quot；premiumquot； amp；amp； it.isValid() } } // ... 其他业务逻辑方法}data class Subscription(val type： String， val valid_until： String) { fun isValid()： Boolean = LocalDate.parse(valid_until).isAfter(LocalDate.now())}登录后复制

集成到Spring安全配置：在WebSecurityConfiguration中，您的jwtAuthenticationConverter现在将返回这个自定义的PlayerAuthenticationToken。

@EnableWebSecurityclass WebSecurityConfiguration { @Bean fun filterChain(http： HttpSecurity)： SecurityFilterChain { http.authorizeRequests() .antMatchers(quot；/actuator/healthquot；).permitAll() // 默认授权规则 .antMatchers(quot；/**quot；).hasAnyRole(quot；Userquot；， quot；Clientquot；) .anyRequest().authenticated() .and() .oauth2ResourceServer() .jwt() .jwtAuthenticationConverter(playerAuthenticationConverter()) // 使用僵尸转换器 return http.build() } private fun playerAuthenticationConverter()： Converterlt；Jwt， out AbstractAuthenticationTokengt； { val jwtConverter = JwtAuthenticationConverter() jwtConverter.setJwtGrantedAuthoritiesConverter(KeycloakRealmRoleConverter()) // 保留原有的角色转换 return Converter { jwt -gt； val Roles = KeycloakRealmRoleConverter().convert(jwt) // 获取角色 valprincipal = jwt.getClaimAsString(quot；preferred_usernamequot；) // 获取用户名 val subscriptionsJson = jwt.getClaimAsMap(quot；player_subscriptionsquot；) // 获取自定义声明 val subscriptions = (subscriptionsJson as? Listlt；Maplt；String， Stringgt；gt；)?.map { Subscription(it[quot；typequot；] ?： quot；quot；， it[quot；valid_untilquot；] ?： quot；quot；) } ?：emptyList() // 返回自定义的PlayerAuthenticationToken PlayerAuthentication

Token(principal，jwt，subscriptions，roles) } }}登录后复制

使用@PreAuthorize进行授权：一旦您的自定义PlayerAuthenticationToken被注入到Spring Security下游中，您就可以在控制器或服务层使用@PreAuthorize注解，利用网关令牌提供的方法进行细粒度的授权。

import org.springframework.security.access.prepost.PreAuthorizeimport org.springframework.security.core.context.SecurityContextHolderimport org.springframework.web.bind.annotation.*@RestController@RequestMapping(quot；/api/custom/playersquot；)class PlayerController { @GetMapping(quot；/{username}/subscriptionsquot；) @PreAuthorize(quot；hasAuthority('ROLE_User') and @playerAuthorizationService.canViewSubscriptions(#username)quot；) fun getPlayerSubscriptions(@PathVariable username： String)： Listlt；Subscriptiongt； { // 获取当前认证对象，并强制转换为自定义类型 val authentication = SecurityContextHolder.getContext().authentication as PlayerAuthenticationToken // 业务逻辑... return authentication.playerSubscriptions } @GetMapping(quot；/premium-contentquot；) @PreAuthorize(quot；hasAuthority('ROLE_User') andauthentication.hasPremiumSubscription()quot；) fun getPremiumContent()： String { return quot；欢迎使用优质内容！quot； }}// 辅助服务，封装更复杂的授权逻辑@Service(quot；playerAuthorizationServicequot；)class PlayerAuthorizationService { fun canViewSubscriptions(username： String)： Boolean { valauthentication = SecurityContextHolder.getContext().authentication if (authentication is PlayerAuthenticationToken) { // 示例：用户只能查看自己的订阅 returnauthentication.principal == username } return false }}登录后复制

注意： In@Pr

eAuthorize表达式中，authentication变量直接引用了当前的Authentication对象，如果您的自定义令牌是PlayerAuthenticationToken，则可以直接调用其方法。3. 认证受信任客户端：客户端权限流

除了用户（资源所有者）上下的授权，有时还需要允许受信任的内部服务或客户端在没有特定用户上下的情况下访问资源。其次，客户端权限流（客户端凭证流）是理想的选择。3.1 适用场景服务间通信：一个微服务需要调用另一个微服务的API，而不需要模拟某个。用户后台任务：批处理或定时任务访问需要受保护的资源。管理工具：管理控制台需要执行管理操作。3.2 Keycloak配置声明机密客户端：在Keycloak中为每个受信任的客户端声明一个“机密客户端”（Confidential Client）。激活客户端凭证流：确保为这些客户端启用了“Service Accounts Enabled”选项，并分配所需的角色。分配角色：为这些机密客户端分配他们在资源服务器上所需的角色（例如ROLE_INTERNAL_SERVICE）。3.3客户端获取令牌

受信任的客户端将使用其客户端ID和客户端密钥直接向Keycloak的令牌令牌发起请求，以获取访问令牌。POST /auth/realms/{realm_name}/protocol/openid-connect/token HTTP/1.1Host： your-keycloak-server.comContent-Type： application/x-www-form-urlencodedgrant_type=client_credentialsamp；client_id={client_id}amp；client_secret={client_secret}登录后复制

Keycloak将返回一个包含分配给该客户端的角色和声明的JWT。3.4 资源服务器视角

来自Spring OAuth2资源服务器的角度来看，通过客户端授权流获取的令牌与通过授权码流获取的用户令牌没有本质区别。它们都是由同一个授权服务器签名的JWT，包含有效的声明和签名。WebSecurityConfiguration中的filterChain和jwtAuthenticationConverter会像处理用户令牌一样处理客户端令牌令牌。资源服务器将根据令处理客户端令牌牌中的范围和角色（或其他自定义声明）来执行授权决策。您可以使用@PreAuthorize("hasAuthority('因为ROLE_INTERNAL_SERVICE')")来保护只有通过客户端请求认证的客户端才能访问的端点。

这种统一的处理方式简化了资源服务器的实现，不需要区分令牌的来源，只需关注令牌中包含的授权信息。4. 注意事项与最佳实践避免硬编码令牌：永远不要在应用程序代码中硬编码令牌作为秘密进行验证。这会导致安全漏洞和维护困难。授权逻辑集中化：将复杂的授权逻辑放在授权服务器上（通过Mappers）或通过自定义AbstractAuthenticationToken封装。这有助于资源服务器的简洁性，并确保授权规则的一致性。

令牌瘦身：访问令牌应包含足够进行授权决策的信息，但不要包含过多不必要的敏感数据，以减少令牌大小和潜在泄露风险。分离关注点：明确区分认证（你是谁）和授权（你能做）。JWT主要用于认证和提交授权所需的链路信息。错误处理：验证在令牌验证失败或授权拒绝时，资源服务器能返回清晰的错误信息汇总、安全的错误信息。

在Spring OAuth2资源服务器中实现自定义端点授权最佳，实践是充分利用JWT的强大功能和授权服务器（如Keycloak）的可扩展性。通过在Keycloak中配置Mappers将业务相关的授权数据嵌入到JWT的非声明中，并在Spring中安全性中通过自定义JwtAuthenticationConverter和AbstractAuthenticationToken来解析和封装这些报表，我们可以构建出高度灵活、可维护且安全的授权系统。对于无用户上下的受信任提供客户端访问，客户端规定流了一种标准安全的方法，且与用户令牌在资源服务器端统一保持处理，进一步简化了架构。遵循这些原则，有效应对复杂的授权需求，同时保持系统的健壮性。

以上就是可以在Spring OAuth2资源服务器中实现自定义端点授权的详细内容，更多请关注乐哥常识网相关文章！