WSO2 API 经理 - 将客户端角色添加到密码授予 JWT
WSO2 API Manager - Add client roles to password grant JWT
如何将用户角色添加到通过 OAuth2 密码授予生成的 JWT,如所述here:
我尝试了 this 方法,但它仅将自定义声明添加到传递给后端的 JWT,但 JWT 中没有任何内容用于验证客户端。
我想做的是向 Angular 应用程序添加一个登录页面,并在身份验证成功时调用 https://[APIM]/token 获取令牌。角色对于根据用户角色呈现正确的菜单很重要。
提前致谢,
您需要请求具有 openid 范围的令牌以检索附加用户信息作为 JWT 令牌的声明。您可以参考https://apim.docs.wso2.com/en/latest/learn/api-security/openid-connect/obtaining-user-profile-information-with-openid-connect/了解更多详情。
例如,如果您想在生成的 JWT 中获取用户角色,您可以将 http://wso2.org/claims/role 声明作为 Claim Configuration 下请求的声明添加到您正在使用的服务提供商碳控制台。有关更多详细信息,请参阅 https://is.docs.wso2.com/en/5.10.0/learn/configuring-claims-for-a-service-provider/#claim-mapping。
然后在调用令牌端点时,需要添加openid范围。
curl -k -d "grant_type=password&username=<USERNAME>&password=<PASSWORD>&scope=openid" -H "Authorization: Basic <BASE64 ENCODED CONSUMER_KEY:CONSUMER_SECRET>, Content-Type: application/x-www-form-urlencoded" https://<GATEWAY_HOSTNAME>:<PORT>/token
生成的 JWT 令牌负载将是这样的,
{
"sub": "admin",
"aut": "APPLICATION_USER",
"aud": "5af6EfSzqxS_dfmUnQ28sHdpZzYa",
"nbf": 1610395871,
"azp": "5af6EfSzqxS_dfmUnQ28sHdpZzYa",
"scope": "openid",
"iss": "https://localhost:9443/oauth2/token",
"groups": [
"Internal/subscriber",
"Internal/creator",
"Application/admin_DefaultApplication_PRODUCTION",
"Application/apim_devportal",
"Internal/publisher",
"Internal/everyone",
"Internal/devops",
"Application/apim_admin_portal",
"admin",
"Internal/analytics",
"Application/apim_publisher"
],
"exp": 1610399471,
"iat": 1610395871,
"jti": "75ddfca2-5088-435d-825a-3320efc10036"
}
希望对您有所帮助!
如何将用户角色添加到通过 OAuth2 密码授予生成的 JWT,如所述here:
我尝试了 this 方法,但它仅将自定义声明添加到传递给后端的 JWT,但 JWT 中没有任何内容用于验证客户端。
我想做的是向 Angular 应用程序添加一个登录页面,并在身份验证成功时调用 https://[APIM]/token 获取令牌。角色对于根据用户角色呈现正确的菜单很重要。
提前致谢,
您需要请求具有 openid 范围的令牌以检索附加用户信息作为 JWT 令牌的声明。您可以参考https://apim.docs.wso2.com/en/latest/learn/api-security/openid-connect/obtaining-user-profile-information-with-openid-connect/了解更多详情。
例如,如果您想在生成的 JWT 中获取用户角色,您可以将 http://wso2.org/claims/role 声明作为 Claim Configuration 下请求的声明添加到您正在使用的服务提供商碳控制台。有关更多详细信息,请参阅 https://is.docs.wso2.com/en/5.10.0/learn/configuring-claims-for-a-service-provider/#claim-mapping。
然后在调用令牌端点时,需要添加openid范围。
curl -k -d "grant_type=password&username=<USERNAME>&password=<PASSWORD>&scope=openid" -H "Authorization: Basic <BASE64 ENCODED CONSUMER_KEY:CONSUMER_SECRET>, Content-Type: application/x-www-form-urlencoded" https://<GATEWAY_HOSTNAME>:<PORT>/token
生成的 JWT 令牌负载将是这样的,
{
"sub": "admin",
"aut": "APPLICATION_USER",
"aud": "5af6EfSzqxS_dfmUnQ28sHdpZzYa",
"nbf": 1610395871,
"azp": "5af6EfSzqxS_dfmUnQ28sHdpZzYa",
"scope": "openid",
"iss": "https://localhost:9443/oauth2/token",
"groups": [
"Internal/subscriber",
"Internal/creator",
"Application/admin_DefaultApplication_PRODUCTION",
"Application/apim_devportal",
"Internal/publisher",
"Internal/everyone",
"Internal/devops",
"Application/apim_admin_portal",
"admin",
"Internal/analytics",
"Application/apim_publisher"
],
"exp": 1610399471,
"iat": 1610395871,
"jti": "75ddfca2-5088-435d-825a-3320efc10036"
}
希望对您有所帮助!