Spring Security 5.2 -- 如何自定义OAuth2ResourceServer使用的NimbusJWTDecoder?
Spring Security 5.2 -- how to customize NimbusJWTDecoder used by OAuth2ResourceServer?
我在本地有一个 openid 提供商 (openam) 运行。我使用的是自签名证书并且 jwks url 是 @https://localhost:8443/openam/oauth2/connect/
由于 ssl 证书是自签名的,所以在解码 oidc 令牌时出现 SSLHandshake 异常。我尝试通过创建自定义 JwtDecoder(如 https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2resourceserver-jwt-decoder-dsl 中的建议)
使用自定义 rest 模板
@Bean
public JwtDecoder jwtDecoder() {
NimbusJwtDecoder.withJwkSetUri("https://localhost:8443/openam/oauth2/connect").restOperations(myCustomRestTemplateThatAllowsSelfSignedCerts()).build();
}
不过这个解码器好像没有用过。 OidcIdTokenDecoderFactory 用于创建解码器。这个 class 似乎不允许我们传入自定义的 jwtDecoder..
为什么 oauthResourceServer().jwt().decoder(customDecoder()) 不起作用?我怎样才能让解码器与具有自签名证书的网站 jwks uri 一起工作?
我正在考虑的一个选项是将自签名证书添加到我的 jdk..
的 cacerts 文件夹中
OAuth2LoginAuthenticationFilter 正在调用 OidcAuthorizationCodeAuthenticationProvider 进行 OpenID 身份验证。要更改它使用的 JwtDecoder,您应该有一个 JwtDecoderFactory bean。
例如,您可能有这样的东西:
@Bean
public JwtDecoderFactory<ClientRegistration> customJwtDecoderFactory() {
return new CustomJwtDecoderFactory();
}
static class CustomJwtDecoderFactory implements JwtDecoderFactory<ClientRegistration> {
public JwtDecoder createDecoder(ClientRegistration reg) {
//...
return new CustomJwtDecoder();
}
}
希望这至少能回答您的部分问题。
我在本地有一个 openid 提供商 (openam) 运行。我使用的是自签名证书并且 jwks url 是 @https://localhost:8443/openam/oauth2/connect/
由于 ssl 证书是自签名的,所以在解码 oidc 令牌时出现 SSLHandshake 异常。我尝试通过创建自定义 JwtDecoder(如 https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2resourceserver-jwt-decoder-dsl 中的建议)
使用自定义 rest 模板@Bean
public JwtDecoder jwtDecoder() {
NimbusJwtDecoder.withJwkSetUri("https://localhost:8443/openam/oauth2/connect").restOperations(myCustomRestTemplateThatAllowsSelfSignedCerts()).build();
}
不过这个解码器好像没有用过。 OidcIdTokenDecoderFactory 用于创建解码器。这个 class 似乎不允许我们传入自定义的 jwtDecoder..
为什么 oauthResourceServer().jwt().decoder(customDecoder()) 不起作用?我怎样才能让解码器与具有自签名证书的网站 jwks uri 一起工作?
我正在考虑的一个选项是将自签名证书添加到我的 jdk..
的 cacerts 文件夹中OAuth2LoginAuthenticationFilter 正在调用 OidcAuthorizationCodeAuthenticationProvider 进行 OpenID 身份验证。要更改它使用的 JwtDecoder,您应该有一个 JwtDecoderFactory bean。
例如,您可能有这样的东西:
@Bean
public JwtDecoderFactory<ClientRegistration> customJwtDecoderFactory() {
return new CustomJwtDecoderFactory();
}
static class CustomJwtDecoderFactory implements JwtDecoderFactory<ClientRegistration> {
public JwtDecoder createDecoder(ClientRegistration reg) {
//...
return new CustomJwtDecoder();
}
}
希望这至少能回答您的部分问题。