对于最新的稳定版本,请使用 Spring Authorization Server 1.4.0! |
作方法:在 JWT 访问令牌中将颁发机构添加为自定义声明
本指南演示如何向 JWT 访问令牌添加资源所有者权限。 术语“权限”可能表示不同的形式,例如资源所有者的角色、权限或组。
为了使资源所有者的权限可用于资源服务器,我们将自定义声明添加到访问令牌中。 当客户端使用访问令牌访问受保护的资源时,资源服务器将能够获取有关资源所有者的访问级别以及其他潜在用途和好处的信息。
向 JWT 访问令牌添加自定义声明
您可以使用OAuth2TokenCustomizer<JWTEncodingContext>
@Bean
.
请注意,此@Bean
只能定义一次,因此必须小心确保您自定义的是适当的令牌类型 — 在本例中为 Access Token。
如果您有兴趣自定义 ID 令牌,请参阅 User Info Mapper 指南以了解更多信息。
以下是向访问令牌添加自定义声明的示例,换句话说,授权服务器颁发的每个访问令牌都将填充自定义声明。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.server.authorization.OAuth2TokenType;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;
@Configuration
public class CustomClaimsConfiguration {
@Bean
public OAuth2TokenCustomizer<JwtEncodingContext> jwtTokenCustomizer() {
return (context) -> {
if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) {
context.getClaims().claims((claims) -> {
claims.put("claim-1", "value-1");
claims.put("claim-2", "value-2");
});
}
};
}
}
将颁发机构作为自定义声明添加到 JWT 访问令牌
要将资源所有者的权限添加到 JWT 访问令牌中,我们可以参考上面的自定义声明映射方法,并使用Principal
.
我们定义了一个具有一组权限的示例用户以进行演示,并使用这些权限填充访问令牌中的自定义声明。
1 | 定义示例用户user1 使用内存中的UserDetailsService . |
2 | 分配 的角色user1 . |
3 | 定义一个OAuth2TokenCustomizer<JwtEncodingContext> @Bean ,这允许自定义 JWT 声明。 |
4 | 请检查 JWT 是否为 Access Token。 |
5 | 通过JwtEncodingContext . |
6 | 从Principal 对象。角色信息存储为前缀为ROLE_ ,因此我们在此处去除前缀。 |
7 | 设置自定义声明roles 添加到从上一步收集的角色集。 |
作为此自定义的结果,有关用户的颁发机构信息将作为自定义声明包含在访问令牌中。