如何:将权限作为自定义声明添加到 JWT 访问令牌中

本指南演示了如何将资源所有者的权限添加到JWT访问令牌中。“权限”一词可能代表各种形式,如角色、权限或资源所有者的组。

为了让资源服务器能够获取资源所有者的权限,我们向访问令牌添加自定义声明。当客户端使用访问令牌访问受保护资源时,资源服务器将能够获取有关资源所有者访问级别的信息,以及其他潜在的用途和好处。

向JWT访问令牌添加自定义声明

您可以使用 OAuth2TokenCustomizer<JWTEncodingContext> @Bean 将自己的自定义声明添加到访问令牌中。请注意,这个 @Bean 只能定义一次,因此必须注意确保您正在定制适当的令牌类型——在本例中是访问令牌。如果您对定制ID令牌感兴趣,请参阅用户信息映射器指南以获取更多信息。

以下是向访问令牌添加自定义声明的示例——换句话说,授权服务器颁发的每个访问令牌都将填充自定义声明。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.server.authorization.OAuth2TokenType;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;

@Configuration
public class CustomClaimsConfiguration {
	@Bean
	public OAuth2TokenCustomizer<JwtEncodingContext> jwtTokenCustomizer() {
		return (context) -> {
			if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) {
				context.getClaims().claims((claims) -> {
					claims.put("claim-1", "value-1");
					claims.put("claim-2", "value-2");
				});
			}
		};
	}
}

将权限作为自定义声明添加到JWT访问令牌中

要将资源所有者的权限添加到JWT访问令牌中,我们可以参考上述自定义声明映射方法,并用 Principal 的权限填充自定义声明。

我们定义一个带有权限集的示例用户用于演示目的,并在访问令牌中用这些权限填充一个自定义声明。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.server.authorization.OAuth2TokenType;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

import java.util.Collections;
import java.util.Set;
import java.util.stream.Collectors;

@Configuration
public class CustomClaimsWithAuthoritiesConfiguration {
	@Bean
	public UserDetailsService users() {
		UserDetails user = User.withDefaultPasswordEncoder()
				.username("user1") (1)
				.password("password")
				.roles("user", "admin") (2)
				.build();
		return new InMemoryUserDetailsManager(user);
	}

	@Bean
	public OAuth2TokenCustomizer<JwtEncodingContext> jwtTokenCustomizer() { (3)
		return (context) -> {
			if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) { (4)
				context.getClaims().claims((claims) -> { (5)
					Set<String> roles = AuthorityUtils.authorityListToSet(context.getPrincipal().getAuthorities())
							.stream()
							.map(c -> c.replaceFirst("^ROLE_", ""))
							.collect(Collectors.collectingAndThen(Collectors.toSet(), Collections::unmodifiableSet)); (6)
					claims.put("roles", roles); (7)
				});
			}
		};
	}
}
1 使用内存中的 UserDetailsService 定义示例用户 user1
2 user1 分配角色。
3 定义一个 OAuth2TokenCustomizer<JwtEncodingContext> @Bean,允许定制JWT声明。
4 检查JWT是否是访问令牌。
5 通过 JwtEncodingContext 访问默认声明。
6 Principal 对象中提取角色。角色信息以 ROLE_ 为前缀的字符串形式存储,因此我们在此处去除前缀。
7 将自定义声明 roles 设置为上一步收集的角色集。

通过这种定制,有关用户的权限信息将作为自定义声明包含在访问令牌中。

© . This site is unofficial and not affiliated with VMware.