Spring Security 5.2 -- 如何自定义OAuth2ResourceServer使用的NimbusJWTDecoder?

Spring Security 5.2 -- how to customize NimbusJWTDecoder used by OAuth2ResourceServer?

我在本地有一个 openid 提供商 (openam) 运行。我使用的是自签名证书并且 jwks url 是 @https://localhost:8443/openam/oauth2/connect/

由于 ssl 证书是自签名的,所以在解码 oidc 令牌时出现 SSLHandshake 异常。我尝试通过创建自定义 JwtDecoder(如 https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2resourceserver-jwt-decoder-dsl 中的建议)

使用自定义 rest 模板
@Bean
public JwtDecoder jwtDecoder() {
NimbusJwtDecoder.withJwkSetUri("https://localhost:8443/openam/oauth2/connect").restOperations(myCustomRestTemplateThatAllowsSelfSignedCerts()).build();
}

不过这个解码器好像没有用过。 OidcIdTokenDecoderFactory 用于创建解码器。这个 class 似乎不允许我们传入自定义的 jwtDecoder..

为什么 oauthResourceServer().jwt().decoder(customDecoder()) 不起作用?我怎样才能让解码器与具有自签名证书的网站 jwks uri 一起工作?

我正在考虑的一个选项是将自签名证书添加到我的 jdk..

的 cacerts 文件夹中

OAuth2LoginAuthenticationFilter 正在调用 OidcAuthorizationCodeAuthenticationProvider 进行 OpenID 身份验证。要更改它使用的 JwtDecoder,您应该有一个 JwtDecoderFactory bean。

例如,您可能有这样的东西:

@Bean
public JwtDecoderFactory<ClientRegistration> customJwtDecoderFactory() {
    return new CustomJwtDecoderFactory();
}

static class CustomJwtDecoderFactory implements JwtDecoderFactory<ClientRegistration> {
    public JwtDecoder createDecoder(ClientRegistration reg) {
        //...

        return new CustomJwtDecoder();
    }
}

希望这至少能回答您的部分问题。