Spring 使用 JWT 自定义 UserDetails 的 OAuth - 在 JwtAccessTokenConverter 中设置主体
Spring OAuth with JWT custom UserDetails - Set Principal inside JwtAccessTokenConverter
资源服务器上的自定义 UserDetails class 中需要从 OAuth 授权服务器发送一些附加信息,最好是在 SpringSecurity Principal 中。
当前的方法是将用户名设置为主体并添加附加信息作为身份验证对象的附加详细信息。
public class CustomAccessTokenConverter extends JwtAccessTokenConverter{
@Override
public OAuth2Authentication extractAuthentication(Map<String, ?> claims) {
OAuth2Authentication authentication = super.extractAuthentication(claims);
CustomUserDetails userDetails = new CustomUserDetails ();
userDetails.setUserId(((Integer)claims.get("id")).longValue());
userDetails.setName((String) claims.get("name"));
userDetails.setLastName((String) claims.get("lastName"));
authentication.setDetails(userDetails);
return authentication;
}
}
这种方法的好处是我们可以从应用程序内的任何位置访问自定义 UserDetails。糟糕的是,Pricipal 对象一直停留在仅用户用户名的状态,我们需要更多代码来访问自定义 UserDetails。
// preferable way
(UserAuthDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
// current solution
(UserAuthDetails) ((OAuth2AuthenticationDetails) SecurityContextHolder.getContext().getAuthentication().getDetails()).getDecodedDetails();
是否有更简洁的解决方案来使用 JwtAccessTokenConverter 但仍然能够将 Principal 设置为自定义 UserDetails 而不是将其设置为(无用的)用户名并将附加信息作为 Authentication 对象的详细信息发送?
我不能说这是否是首选解决方案,但在尝试自己解决同样的问题后,我最终扩展了 DefaultUserAuthenticationConverter。
所以你可以这样做
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
DefaultAccessTokenConverter defaultConverter = new DefaultAccessTokenConverter();
defaultConverter.setUserTokenConverter(new CustomUserAuthenticationConverter());
JwtAccessTokenConverter jwtConverter = new JwtAccessTokenConverter();
converter.setAccessTokenConverter(defaultConverter);
return converter;
}
那么 DefaultUserAuthenticationConverter 不是很容易扩展,因为大多数方法和属性都是私有的。但这里有一个例子
public class CustomUserAuthenticationConverter extends DefaultUserAuthenticationConverter {
private static final String CUST_PROP = "custProp";
@Override
public Authentication extractAuthentication(Map<String, ?> map) {
if (map.containsKey(USERNAME) && map.containsKey(CUST_PROP)) {
String username = (String) map.get(USERNAME);
String custProp = (String) map.get(CUST_PROP);
CustomPrincipal principal = new CustomPrincipal();
pricipal.setUsername(username);
pricipal.setCustomProp(custProp);
Collection<? extends GrantedAuthority> authorities = getAuthorities(map);
return new UsernamePasswordAuthenticationToken(user, "N/A", authorities);
}
return null;
}
private Collection<? extends GrantedAuthority> getAuthorities(Map<String, ?> map) {
//Copy this method from DefaultUserAuthenticationConverter or create your own.
}
}
资源服务器上的自定义 UserDetails class 中需要从 OAuth 授权服务器发送一些附加信息,最好是在 SpringSecurity Principal 中。
当前的方法是将用户名设置为主体并添加附加信息作为身份验证对象的附加详细信息。
public class CustomAccessTokenConverter extends JwtAccessTokenConverter{
@Override
public OAuth2Authentication extractAuthentication(Map<String, ?> claims) {
OAuth2Authentication authentication = super.extractAuthentication(claims);
CustomUserDetails userDetails = new CustomUserDetails ();
userDetails.setUserId(((Integer)claims.get("id")).longValue());
userDetails.setName((String) claims.get("name"));
userDetails.setLastName((String) claims.get("lastName"));
authentication.setDetails(userDetails);
return authentication;
}
}
这种方法的好处是我们可以从应用程序内的任何位置访问自定义 UserDetails。糟糕的是,Pricipal 对象一直停留在仅用户用户名的状态,我们需要更多代码来访问自定义 UserDetails。
// preferable way
(UserAuthDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
// current solution
(UserAuthDetails) ((OAuth2AuthenticationDetails) SecurityContextHolder.getContext().getAuthentication().getDetails()).getDecodedDetails();
是否有更简洁的解决方案来使用 JwtAccessTokenConverter 但仍然能够将 Principal 设置为自定义 UserDetails 而不是将其设置为(无用的)用户名并将附加信息作为 Authentication 对象的详细信息发送?
我不能说这是否是首选解决方案,但在尝试自己解决同样的问题后,我最终扩展了 DefaultUserAuthenticationConverter。
所以你可以这样做
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
DefaultAccessTokenConverter defaultConverter = new DefaultAccessTokenConverter();
defaultConverter.setUserTokenConverter(new CustomUserAuthenticationConverter());
JwtAccessTokenConverter jwtConverter = new JwtAccessTokenConverter();
converter.setAccessTokenConverter(defaultConverter);
return converter;
}
那么 DefaultUserAuthenticationConverter 不是很容易扩展,因为大多数方法和属性都是私有的。但这里有一个例子
public class CustomUserAuthenticationConverter extends DefaultUserAuthenticationConverter {
private static final String CUST_PROP = "custProp";
@Override
public Authentication extractAuthentication(Map<String, ?> map) {
if (map.containsKey(USERNAME) && map.containsKey(CUST_PROP)) {
String username = (String) map.get(USERNAME);
String custProp = (String) map.get(CUST_PROP);
CustomPrincipal principal = new CustomPrincipal();
pricipal.setUsername(username);
pricipal.setCustomProp(custProp);
Collection<? extends GrantedAuthority> authorities = getAuthorities(map);
return new UsernamePasswordAuthenticationToken(user, "N/A", authorities);
}
return null;
}
private Collection<? extends GrantedAuthority> getAuthorities(Map<String, ?> map) {
//Copy this method from DefaultUserAuthenticationConverter or create your own.
}
}