如何访问令牌附加信息以验证基于表达式的访问控制
How to access token additionalInformation to validate expression-based access control
我通过实施 TokenEnhancer 在授权服务器端成功添加了有关生成的令牌的 user_id 附加信息。这是生成的令牌:
{"access_token":"ccae1713-00d4-49c2-adbf-e699c525d53e","token_type":"bearer","expires_in":31512,"scope":"end-user","user_id":2}
现在,在资源服务器端,这是一个完全独立的 spring 项目,通过 RemoteTokenServices 进行通信,我想通过方法 expression-based access control 使用这些信息。例如,我想使用添加的 user_id 数据(它是 Spring Data JPA 存储库,用于 Spring Data Rest):
@PreAuthorize("#oauth2.hasScope('admin') or #id == authentication.principal.user_id")
@Override
UserAccount findOne (@P("id") Integer id);
#oauth2.hasScope('admin') 按预期工作,但 #id == authentication.principal.user_id" 部分显然不是。
我如何访问添加到基于表达式的访问控制的令牌的附加数据?
所以我找到了自己。关键接口是UserAuthenticationConverter。
使用默认提供的 DefaultUserAuthenticationConverter class,我们可以设置一个 UserDetailsService 用于设置 authentication.principal 与 UserDetailsService 返回的 UserDetail 对象。否则,authentication.principal 仅使用令牌用户名设置为字符串。
这是我的 ResourceServerConfigAdapter:
的摘录
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration
extends ResourceServerConfigurerAdapter {
@Bean
UserDetailsService userDetailsService () {
return new UserDetailsServiceImpl();
}
@Bean
public UserAuthenticationConverter userAuthenticationConverter () {
DefaultUserAuthenticationConverter duac
= new DefaultUserAuthenticationConverter();
duac.setUserDetailsService(userDetailsService());
return duac;
}
@Bean
public AccessTokenConverter accessTokenConverter() {
DefaultAccessTokenConverter datc
= new DefaultAccessTokenConverter();
datc.setUserTokenConverter(userAuthenticationConverter());
return datc;
}
@Bean
RemoteTokenServices getRemoteTokenServices () {
RemoteTokenServices rts = new RemoteTokenServices();
rts.setCheckTokenEndpointUrl(
"http://localhost:15574/oauth/check_token");
rts.setAccessTokenConverter(accessTokenConverter());
rts.setClientId("client");
rts.setClientSecret("pass");
return rts;
}
...
}
另一种方法是覆盖 DefaultUserAuthenticationManager 并提供自定义 public Authentication extractAuthentication(Map<String, ?> map).
完成后,我们可以像这样使用 expression-based access control 上的用户数据:
@PreAuthorize("#oauth2.hasScope('admin') or #id == authentication.principal.userAccount.id")
@Override
UserAccount findOne (@P("id") Integer id);
注意 userAccount 是我原来的 DOMAIN 用户对象。它可以是 UserDetailsService returns.
的所有内容
编辑:
为了回答 Valentin Despa,这是我的 UserDetailsService 实现:
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
UserAccountRepository userAccountRepository;
public UserDetails loadUserByUsername (String username)
throws UsernameNotFoundException {
// Fetch user from repository
UserAccount ua = this.userAccountRepository
.findByEmail(username);
// If nothing throws Exception
if (ua == null) {
throw new UsernameNotFoundException(
"No user found having this username");
}
// Convert it to a UserDetails object
return new UserDetailsImpl(ua);
}
}
我通过实施 TokenEnhancer 在授权服务器端成功添加了有关生成的令牌的 user_id 附加信息。这是生成的令牌:
{"access_token":"ccae1713-00d4-49c2-adbf-e699c525d53e","token_type":"bearer","expires_in":31512,"scope":"end-user","user_id":2}
现在,在资源服务器端,这是一个完全独立的 spring 项目,通过 RemoteTokenServices 进行通信,我想通过方法 expression-based access control 使用这些信息。例如,我想使用添加的 user_id 数据(它是 Spring Data JPA 存储库,用于 Spring Data Rest):
@PreAuthorize("#oauth2.hasScope('admin') or #id == authentication.principal.user_id")
@Override
UserAccount findOne (@P("id") Integer id);
#oauth2.hasScope('admin') 按预期工作,但 #id == authentication.principal.user_id" 部分显然不是。
我如何访问添加到基于表达式的访问控制的令牌的附加数据?
所以我找到了自己。关键接口是UserAuthenticationConverter。
使用默认提供的 DefaultUserAuthenticationConverter class,我们可以设置一个 UserDetailsService 用于设置 authentication.principal 与 UserDetailsService 返回的 UserDetail 对象。否则,authentication.principal 仅使用令牌用户名设置为字符串。
这是我的 ResourceServerConfigAdapter:
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration
extends ResourceServerConfigurerAdapter {
@Bean
UserDetailsService userDetailsService () {
return new UserDetailsServiceImpl();
}
@Bean
public UserAuthenticationConverter userAuthenticationConverter () {
DefaultUserAuthenticationConverter duac
= new DefaultUserAuthenticationConverter();
duac.setUserDetailsService(userDetailsService());
return duac;
}
@Bean
public AccessTokenConverter accessTokenConverter() {
DefaultAccessTokenConverter datc
= new DefaultAccessTokenConverter();
datc.setUserTokenConverter(userAuthenticationConverter());
return datc;
}
@Bean
RemoteTokenServices getRemoteTokenServices () {
RemoteTokenServices rts = new RemoteTokenServices();
rts.setCheckTokenEndpointUrl(
"http://localhost:15574/oauth/check_token");
rts.setAccessTokenConverter(accessTokenConverter());
rts.setClientId("client");
rts.setClientSecret("pass");
return rts;
}
...
}
另一种方法是覆盖 DefaultUserAuthenticationManager 并提供自定义 public Authentication extractAuthentication(Map<String, ?> map).
完成后,我们可以像这样使用 expression-based access control 上的用户数据:
@PreAuthorize("#oauth2.hasScope('admin') or #id == authentication.principal.userAccount.id")
@Override
UserAccount findOne (@P("id") Integer id);
注意 userAccount 是我原来的 DOMAIN 用户对象。它可以是 UserDetailsService returns.
编辑: 为了回答 Valentin Despa,这是我的 UserDetailsService 实现:
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
UserAccountRepository userAccountRepository;
public UserDetails loadUserByUsername (String username)
throws UsernameNotFoundException {
// Fetch user from repository
UserAccount ua = this.userAccountRepository
.findByEmail(username);
// If nothing throws Exception
if (ua == null) {
throw new UsernameNotFoundException(
"No user found having this username");
}
// Convert it to a UserDetails object
return new UserDetailsImpl(ua);
}
}