授权客户端
解析授权客户端
@RegisteredOAuth2AuthorizedClient
注解提供了将方法参数解析为 `OAuth2AuthorizedClient` 类型参数值的功能。这与使用 `ReactiveOAuth2AuthorizedClientManager` 或 `ReactiveOAuth2AuthorizedClientService` 访问 `OAuth2AuthorizedClient` 相比,是一种更便捷的替代方案。
-
Java
-
Kotlin
@Controller
public class OAuth2ClientController {
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
return Mono.just(authorizedClient.getAccessToken())
...
.thenReturn("index");
}
}
@Controller
class OAuth2ClientController {
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
return Mono.just(authorizedClient.accessToken)
...
.thenReturn("index")
}
}
@RegisteredOAuth2AuthorizedClient
注解由 `OAuth2AuthorizedClientArgumentResolver` 处理,它直接使用 ReactiveOAuth2AuthorizedClientManager,因此继承了它的功能。
响应式环境中的 WebClient 集成
OAuth 2.0 客户端支持使用 `ExchangeFilterFunction` 与 `WebClient` 集成。
ServerOAuth2AuthorizedClientExchangeFilterFunction
提供了一种简单的机制,通过使用 `OAuth2AuthorizedClient` 并包含关联的 `OAuth2AccessToken` 作为 Bearer 令牌来请求受保护的资源。它直接使用 ReactiveOAuth2AuthorizedClientManager,因此继承了以下功能:
-
如果客户端尚未获得授权,将请求 `OAuth2AccessToken`。
-
authorization_code
- 触发授权请求重定向以启动流程 -
client_credentials
- 直接从令牌端点获取访问令牌 -
password
- 直接从令牌端点获取访问令牌
-
-
如果 `OAuth2AccessToken` 已过期,如果可用 `ReactiveOAuth2AuthorizedClientProvider` 来执行授权,则会刷新(或更新)它。
以下代码展示了如何使用 OAuth 2.0 客户端支持配置 `WebClient` 的示例。
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
return WebClient.builder()
.filter(oauth2Client)
.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
return WebClient.builder()
.filter(oauth2Client)
.build()
}
提供授权客户端
ServerOAuth2AuthorizedClientExchangeFilterFunction
通过从 `ClientRequest.attributes()`(请求属性)中解析 `OAuth2AuthorizedClient` 来确定要使用的客户端(对于请求)。
以下代码展示了如何将 `OAuth2AuthorizedClient` 设置为请求属性。
-
Java
-
Kotlin
@GetMapping("/")
public Mono<String> index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) (1)
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(oauth2AuthorizedClient(authorizedClient)) (1)
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}
1 | oauth2AuthorizedClient() 是 `ServerOAuth2AuthorizedClientExchangeFilterFunction` 中的 `static` 方法。 |
以下代码展示了如何将 `ClientRegistration.getRegistrationId()` 设置为请求属性。
-
Java
-
Kotlin
@GetMapping("/")
public Mono<String> index() {
String resourceUri = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) (1)
.retrieve()
.bodyToMono(String.class)
...
.thenReturn("index");
}
@GetMapping("/")
fun index(): Mono<String> {
val resourceUri: String = ...
return webClient
.get()
.uri(resourceUri)
.attributes(clientRegistrationId("okta")) (1)
.retrieve()
.bodyToMono<String>()
...
.thenReturn("index")
}
1 | clientRegistrationId() 是 `ServerOAuth2AuthorizedClientExchangeFilterFunction` 中的 `static` 方法。 |
授权客户端默认值
如果没有将 `OAuth2AuthorizedClient` 或 `ClientRegistration.getRegistrationId()` 作为请求属性提供,则 `ServerOAuth2AuthorizedClientExchangeFilterFunction` 可以根据其配置确定要使用的默认客户端。
如果配置了 `setDefaultOAuth2AuthorizedClient(true)` 并且用户已使用 `ServerHttpSecurity.oauth2Login()` 进行身份验证,则使用与当前 `OAuth2AuthenticationToken` 关联的 `OAuth2AccessToken`。
以下代码展示了具体的配置。
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultOAuth2AuthorizedClient(true);
return WebClient.builder()
.filter(oauth2Client)
.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultOAuth2AuthorizedClient(true)
return WebClient.builder()
.filter(oauth2Client)
.build()
}
建议谨慎使用此功能,因为所有 HTTP 请求都将接收访问令牌。 |
或者,如果使用有效的 `ClientRegistration` 配置了 `setDefaultClientRegistrationId("okta")`,则使用与 `OAuth2AuthorizedClient` 关联的 `OAuth2AccessToken`。
以下代码展示了具体的配置。
-
Java
-
Kotlin
@Bean
WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
ServerOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
oauth2Client.setDefaultClientRegistrationId("okta");
return WebClient.builder()
.filter(oauth2Client)
.build();
}
@Bean
fun webClient(authorizedClientManager: ReactiveOAuth2AuthorizedClientManager): WebClient {
val oauth2Client = ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
oauth2Client.setDefaultClientRegistrationId("okta")
return WebClient.builder()
.filter(oauth2Client)
.build()
}
建议谨慎使用此功能,因为所有 HTTP 请求都将接收访问令牌。 |