如何使用 spring-security-oauth2 和 WebClient 自定义 OAuth2 令牌请求的授权标头？

2024-05-18

我正在尝试通过 WebClient 调用升级到 spring security 5.5.1。我发现oauth2clientId and secret现在 URL 已编码为AbstractWebClientReactiveOAuth2AccessTokenResponseClient，但我的令牌提供者不支持这一点（例如，如果秘密包含+字符仅当它作为+ not as %2B）。我知道这被视为spring-security 方面的错误修复 https://github.com/spring-projects/spring-security/issues/9610），但我无法让令牌提供者轻松改变其行为。

所以我试图找到一种方法来解决这个问题。

[文档]（https://docs.spring.io/spring-security/site/docs/current/reference/html5/#customizing-the-access-token-request https://docs.spring.io/spring-security/site/docs/current/reference/html5/#customizing-the-access-token-request）关于如何自定义访问令牌请求的内容在您使用 WebClient 配置时似乎并不适用（这是我的情况）。

为了删除 clientid/secret 编码，我必须扩展并复制大部分现有代码AbstractWebClientReactiveOAuth2AccessTokenResponseClient定制WebClientReactiveClientCredentialsTokenResponseClient因为其中大部分具有私有/默认可见性。我在一个增强问题 https://github.com/spring-projects/spring-security/issues/10042在春季安全项目中。

是否有更简单的方法来自定义令牌请求的授权标头，以跳过 url 编码？

一些围绕定制的 API 肯定还有改进的空间，并且肯定来自社区的这些类型的问题/请求/问题将继续帮助突出这些领域。

关于AbstractWebClientReactiveOAuth2AccessTokenResponseClient特别是，目前无法覆盖内部方法来填充基本身份验证凭据Authorization标头。但是，您可以自定义WebClient用于进行 API 调用。如果在您的用例中可以接受（暂时，在解决行为更改和/或添加自定义选项时），您应该能够在WebClient.

这是一个将创建一个WebClient能够使用一个OAuth2AuthorizedClient:

@Configuration
public class WebClientConfiguration {

    @Bean
    public WebClient webClient(ReactiveOAuth2AuthorizedClientManager authorizedClientManager) {
        // @formatter:off
        ServerOAuth2AuthorizedClientExchangeFilterFunction exchangeFilterFunction =
                new ServerOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
        exchangeFilterFunction.setDefaultOAuth2AuthorizedClient(true);

        return WebClient.builder()
                .filter(exchangeFilterFunction)
                .build();
        // @formatter:on
    }

    @Bean
    public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
            ReactiveClientRegistrationRepository clientRegistrationRepository,
            ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {
        // @formatter:off
        WebClientReactiveClientCredentialsTokenResponseClient accessTokenResponseClient =
                new WebClientReactiveClientCredentialsTokenResponseClient();
        accessTokenResponseClient.setWebClient(createAccessTokenResponseWebClient());

        ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
                ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
                        .clientCredentials(consumer ->
                                consumer.accessTokenResponseClient(accessTokenResponseClient)
                                        .build())
                        .build();

        DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
                new DefaultReactiveOAuth2AuthorizedClientManager(
                        clientRegistrationRepository, authorizedClientRepository);
        authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
        // @formatter:on

        return authorizedClientManager;
    }

    protected WebClient createAccessTokenResponseWebClient() {
        // @formatter:off
        return WebClient.builder()
                .filter((clientRequest, exchangeFunction) -> {
                    HttpHeaders headers = clientRequest.headers();
                    String authorizationHeader = headers.getFirst("Authorization");
                    Assert.notNull(authorizationHeader, "Authorization header cannot be null");
                    Assert.isTrue(authorizationHeader.startsWith("Basic "),
                            "Authorization header should start with Basic");
                    String encodedCredentials = authorizationHeader.substring("Basic ".length());
                    byte[] decodedBytes = Base64.getDecoder().decode(encodedCredentials);
                    String credentialsString = new String(decodedBytes, StandardCharsets.UTF_8);
                    Assert.isTrue(credentialsString.contains(":"), "Decoded credentials should contain a \":\"");
                    String[] credentials = credentialsString.split(":");
                    String clientId = URLDecoder.decode(credentials[0], StandardCharsets.UTF_8);
                    String clientSecret = URLDecoder.decode(credentials[1], StandardCharsets.UTF_8);

                    ClientRequest newClientRequest = ClientRequest.from(clientRequest)
                            .headers(httpHeaders -> httpHeaders.setBasicAuth(clientId, clientSecret))
                            .build();
                    return exchangeFunction.exchange(newClientRequest);
                })
                .build();
        // @formatter:on
    }

}

此测试表明凭证已针对内部访问令牌响应进行解码WebClient:

@ExtendWith(MockitoExtension.class)
public class WebClientConfigurationTests {

    private WebClientConfiguration webClientConfiguration;

    @Mock
    private ExchangeFunction exchangeFunction;

    @Captor
    private ArgumentCaptor<ClientRequest> clientRequestCaptor;

    @BeforeEach
    public void setUp() {
        webClientConfiguration = new WebClientConfiguration();
    }

    @Test
    public void exchangeWhenBasicAuthThenDecoded() {
        WebClient webClient = webClientConfiguration.createAccessTokenResponseWebClient()
                .mutate()
                .exchangeFunction(exchangeFunction)
                .build();
        when(exchangeFunction.exchange(any(ClientRequest.class)))
                .thenReturn(Mono.just(ClientResponse.create(HttpStatus.OK).build()));

        webClient.post()
                .uri("/oauth/token")
                .headers(httpHeaders -> httpHeaders.setBasicAuth("aladdin", URLEncoder.encode("open sesame", StandardCharsets.UTF_8)))
                .retrieve()
                .bodyToMono(Void.class)
                .block();

        verify(exchangeFunction).exchange(clientRequestCaptor.capture());

        ClientRequest clientRequest = clientRequestCaptor.getValue();
        String authorizationHeader = clientRequest.headers().getFirst("Authorization");
        assertThat(authorizationHeader).isNotNull();
        String encodedCredentials = authorizationHeader.substring("Basic ".length());
        byte[] decodedBytes = Base64.getDecoder().decode(encodedCredentials);
        String credentialsString = new String(decodedBytes, StandardCharsets.UTF_8);
        String[] credentials = credentialsString.split(":");

        assertThat(credentials[0]).isEqualTo("aladdin");
        assertThat(credentials[1]).isEqualTo("open sesame");
    }

}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何使用 spring-security-oauth2 和 WebClient 自定义 OAuth2 令牌请求的授权标头？的相关文章

使用 sockjs 和 stomp 进行 /info 请求期间没有 cookie

我正在尝试将 Spring Security 与 websockets 一起使用作为一个例子我正在使用 spring websocket chat https github com salmar spring websocket cha
无法验证 Spring Security 中 url 模式的角色

我正在使用 spring security 3 1 7 RELEASE 和 spring 3 2 13 RELEASE 我的 spring security xml 中有如下条目
Spring Security 自定义过滤器

我想自定义 Spring security 3 0 5 并将登录 URL 更改为 login 而不是 j spring security check 我需要做的是允许登录目录并保护 admin report html 页面首先我使用教
身份验证在 Spring Boot 1.5.2 和 Oauth2 中不起作用

我正在使用带有 spring boot 1 5 2 RELEASE 的 Oauth2 当我尝试重写 ResourceServerConfigurerAdapter 类的配置方法时它给了我一个编译错误但这在 Spring boot 1 2
Spring Boot - 使用 JWT、OAuth 以及单独的资源和身份验证服务器

我正在尝试构建一个使用 JWT 令牌和 OAuth2 协议的 Spring 应用程序我的身份验证服务器正在运行感谢本教程 https medium com nydiarra secure a spring boot rest api w
带有 OpenId 提供程序的 Java Spring 安全性

我有一个 spring MVC 应用程序另一个客户端应用程序想要使用 open id connect 访问我的 spring 应用程序如何在服务器端实现开放ID提供商请帮忙 MITREid 连接 OpenID Connect Java
如何在spring-security的SecurityContext中存储自定义信息？

在我的应用程序中我使用 LDAP 身份验证但我还有 2 个远程服务需要通过登录方法用户名密码进行身份验证该方法返回安全令牌这使我能够调用其他方法即我应该将安全令牌作为第一个参数传递给服务方法所以我想在使用 LDAP 成功
我需要在 Spring 中检查每个控制器中的有效会话吗？ [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案假设在 Spring Mvc 的 Web 应用程序中我们是否需要检查每个控制器或 jsps 中的有效会话我该如何解决 MVC 中的
Spring安全“记住我”cookie在第一个请求中不可用

我无法在登录请求后检索 Spring 记住我 cookie 但它在对受保护页面的下一个请求中工作正常谁能告诉我怎样才能立即得到它我在登录请求中设置了记住我的 cookie 但在 Spring 重定向回原始受保护的 url 后无法检索它
如何使用retrofit2进行GET请求？

我有一个在本地主机上运行的安静的 Web 服务我想在该剩余 URL 上发出 Retrofit2 GET 请求 MainActivity java private void requestData public static final S
在 Spring 和 Angular JS 之间处理 CORS 的最佳实践？

我们正在使用 Java Spring 来构建 REST API 我们使用 angularjs 作为前端其余 api 位于一个域中而 angularjs 位于另一域中最初当我尝试从 Angular 向其余 api 发出 POST 请求
Spring Security：推迟使用 HTTP 基本身份验证之前的 IP 地址白名单

我有一个可通过 servlet 访问的 URL 我已使用 Spring Security 的 DaoAuthenticationProvider 锁定该 URL 我现在要求某些传入 IP 地址必须列入白名单因此不需要进行身份验证如果 I
如何在 Spring 3 中以编程方式执行注销

我有一个用于注销的 spring 配置如下所示
使用 Spring Security 时，SecurityContext 是否在请求之间共享？

在使用 Spring Boot 编写的 Rest API 上使用基于无状态令牌的身份验证时我看到一些奇怪的行为客户端在每个请求中包含一个 JWT 令牌并且我编写的扩展 GenericFilterBean 的自定义过滤器使用以下命令将基
Spring security：从 4.0 迁移到 5.0 - 错误 - 没有为 id“null” 映射的 PasswordEncoder [已关闭]

Closed 这个问题是无法重现或由拼写错误引起 help closed questions 目前不接受答案 java lang IllegalArgumentException There is no PasswordEncoder ma
Jetty addFilter 使用 Spring Security 并且没有 web.xml

通常我会添加org springframework web filter DelegatingFilterProxy在 web xml 中添加这样的代码片段
Spring webflux bean 验证不起作用

我正在尝试在 Webflux 中使用 bean 验证这是我到目前为止所拥有的 PostMapping contact fun create RequestBody Valid contact Mono
是否可以使用 Spring 2.5 在不同的窗口选项卡中维护不同的会话（用户）？

我们有一个要求即在浏览器窗口的不同选项卡中支持不同的用户我们如何在 Spring 2 5 中实现这一目标该应用程序基于用户用户将拥有自己的代理和文章内部用户应该能够同时在不同选项卡中登录不同的用户帐户并操作其数据任何帮助深表感谢
Grails：SpringSecurity 角色层次结构未按预期工作

我正在 Grails 2 0 1 中使用 springsecurity 插件我的角色层次结构和其他 s2 属性如下所示 grails plugins springsecurity userLookup userDomainClassNam
如何让 @PostAuthorize 失败导致 @Transactional 回滚？

我的应用程序中有一些复杂的访问限制这些限制基本上需要结合用户的角色以及域对象的一些深层属性来做出访问决策对于我的一些方法特别是像getItem Integer id and updateItem Integer id FormBean

随机推荐

如何用python脚本控制TP LINK路由器

我想知道是否有一个工具可以让我连接到路由器并关闭它然后从 python 脚本重新启动它我知道如果我写 import os os system ssh l root 192 168 2 1 我可以通过 python 连接到我的路由器但是
OpenCV Mat 和 Leptonica Pix 之间的转换

我需要在 C 中在 OpenCV Mat 图像和 Leptonica Pix 图像格式之间进行转换这用于 8 位灰度图像的二值化我发现发现了 ikaliga的回答 https stackoverflow com a 25929320 2
在 Swift 中使用 CommonCrypto 解密时出现问题

我在一家Swift only加密解密Extension for String and NSData 并且 crypt 部分的工作基于 Zaph 在链接问题中提供的答案在 Swift 中使用 CCCrypt CommonCrypt 时出现
Python 中的哈希映射

我想用Python实现HashMap 我想请求用户输入根据他的输入我从 HashMap 中检索一些信息如果用户输入HashMap的某个键我想检索相应的值如何在 Python 中实现此功能 HashMap
为什么 Double 不能隐式转换为 Decimal

我不明白十进制和双精度的转换规则这样做是合法的 decimal dec 10 double doub double dec 然而令我困惑的是 decimal 是 16 字节的数据类型而 double 是 8 字节因此将 double
Emma 不生成coverage.ec

我设置了艾玛它曾经对我有用然后我们更改了源代码现在它没有生成coverage ec根本不它确实生成coverage em 测试临近结束时出现错误消息 exec INSTRUMENTATION CODE 0 echo Downloa
ESP32：dsb1820 温度传感器给出恒定的负 127 读数

我正在尝试使用连接到 esp32 微控制器的单个 dsb1820 温度传感器来获取温度读数传感器连接到 esp32 的 GPIO 4 我打算将温度读数发送到云端我面临的问题是温度读数总是给出值 127 我在网上某处读到当 dsb182
TortoiseSVN 不要求身份验证？

我已经在conf文件中设置了一个新的SVN存储库运行SVNServe anon access none SVNServe 忠实地正确地做到了这一点但是当我尝试使用 TortoiseSVN 浏览存储库时它只是说不允许访问它不应该要求我
将 4 通道图像转换为 3 通道图像

我正在使用 OpenCV 2 4 6 我正在尝试将 4 通道 RGB IplImage 转换为 4 通道 HSV 图像下面是我的代码给出错误 OpenCV 错误未知函数断言失败我认为 cvCvtColor 支持 3 通道图像有没有
Minizinc：生成有效的转变

希望有人能帮助我解决这个问题最初的问题是生成有效的班次如下所述我有这样的数组 m m m o o l l m m m l m m m 具有固定长度 S 其中 m 是工作 o 是办公室我自由了我需要确保至少每 6m 就有两个 l 在
jQuery输入文件点击方法和IE上拒绝访问

我尝试仅使用一个按钮作为输入文件它在 Firefox Chrome Safari 中工作正常但在 IE 中不行提交表单时我总是收到访问被拒绝的消息代码 input file click 有真正的解决方法吗我在谷歌上浪费了大约2
远程 Informix 11.5 命令行客户端

Informix 11 5 是否附带了与 SQL Server 的 SQLCMD 类似的命令行工具如果是如何连接到远程服务器并使用它执行常规 SELECT INSERT UPDATE 查询正如 Michal Niklas 所说 IBM
如何使用 opencv.omnidir 模块对鱼眼图像进行去扭曲

我正在尝试使用全向模块 http docs opencv org trunk db dd2 namespacecv 1 1omnidir html用于对鱼眼图像进行扭曲处理Python 我正在尝试适应这一点C 教程 http docs op
Linux 中的动态环境变量？

Linux 中是否可以通过某种方式拥有动态环境变量我有一个网络服务器网站遵循以下布局 site qa production 我想要一个环境变量例如 APPLICATION ENV 当我在 qa 目录中时设置为 qa 当我在生产目录中时
使用 R 下载压缩数据文件、提取和导入数据

EZGraphs 在 Twitter 上写道很多在线 csv 都被压缩了有没有办法下载解压缩存档并使用 R 将数据加载到 data frame Rstats 我今天也尝试这样做但最终只是手动下载 zip 文件我尝试过类似的东西 f
如何检查 NTAccount 对象代表组还是用户？

使用返回的访问规则时 GetAccessRules True True GetType System Security Principal NTAccount 如何判断每个规则中引用的 NTAccount 对象是用户帐户还是组 Update
JSP/Servlet HTTP 404 错误处理

我想在我的网络应用程序中处理 HTML 404 错误我可以这样写
RMI 中的引用传递问题？ [复制]

这个问题在这里已经有答案了有人可以告诉我我错在哪里为什么这个 RMI 聊天应用程序不起作用目标是通过远程对象或序列化对象实现客户端服务器和逻辑之间的解耦 import javax swing import java awt even
Visual Studio 项目有简单的自动备份系统吗？

我正在使用 Visual Studio 2008 Express 我希望 Visual Studio 或者可能是外接程序将我的整个项目保存到某种自动增量存档或任何可以帮助我从灾难中恢复的文件中我对 SVN 或复杂的版本控制系统没有太多需
如何使用 spring-security-oauth2 和 WebClient 自定义 OAuth2 令牌请求的授权标头？

我正在尝试通过 WebClient 调用升级到 spring security 5 5 1 我发现oauth2clientId and secret现在 URL 已编码为AbstractWebClientReactiveOAuth2Acce

如何使用 spring-security-oauth2 和 WebClient 自定义 OAuth2 令牌请求的授权标头？

如何使用 spring-security-oauth2 和 WebClient 自定义 OAuth2 令牌请求的授权标头？ 的相关文章

随机推荐

热门标签

如何使用 spring-security-oauth2 和 WebClient 自定义 OAuth2 令牌请求的授权标头？的相关文章