时间戳

首页 > 解决方案 > Spring security 5:为 OAuth2 认证用户提供角色

spring - Spring security 5:为 OAuth2 认证用户提供角色

问题描述

我有现有的带有 Spring Security 5 和 OAuth2 客户端的 Spring Boot 应用程序,我已经成功地使用外部 OAuth2 提供程序(在我的例子中是 GitLab)配置了身份验证。

现在我在配置授权时遇到问题。我想有一些方法可以让我编写代码来解析给定用户的角色(通​​过调用数据库或仅检查硬编码的用户名)。

我发现它可以通过使用PrincipalExtractorand来实现AuthoritiesExtractor,在一篇不错的文章中进行了描述。但是,这些类在最近的 Spring Security 中不再存在。与 Spring Security 5 兼容的替代方法是什么?

标签: springspring-securityspring-security-oauth2

解决方案

你要找的东西叫做GrantedAuthoritiesMapper

它记录官方春季安全文档中

这是一个代码示例:

@EnableWebSecurity
public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .oauth2Login(oauth2 -> oauth2
                .userInfoEndpoint(userInfo -> userInfo
                    .userAuthoritiesMapper(this.userAuthoritiesMapper())
                    ...
                )
            );
    }

    private GrantedAuthoritiesMapper userAuthoritiesMapper() {
        return (authorities) -> {
            Set<GrantedAuthority> mappedAuthorities = new HashSet<>();

            authorities.forEach(authority -> {
                if (OidcUserAuthority.class.isInstance(authority)) {
                    OidcUserAuthority oidcUserAuthority = (OidcUserAuthority)authority;

                    OidcIdToken idToken = oidcUserAuthority.getIdToken();
                    OidcUserInfo userInfo = oidcUserAuthority.getUserInfo();

                    // Map the claims found in idToken and/or userInfo
                    // to one or more GrantedAuthority's and add it to mappedAuthorities

                } else if (OAuth2UserAuthority.class.isInstance(authority)) {
                    OAuth2UserAuthority oauth2UserAuthority = (OAuth2UserAuthority)authority;

                    Map<String, Object> userAttributes = oauth2UserAuthority.getAttributes();

                    // Map the attributes found in userAttributes
                    // to one or more GrantedAuthority's and add it to mappedAuthorities

                }
            });

            return mappedAuthorities;
        };
    }
}

spring 安全文档中还有几个示例和解释。

推荐阅读