Spring oauth2 授权流程 - 应用程序中的预先批准

Question

我们有一个服务器到服务器的通信，我们希望使用 oauth 来保护它，但授权需要是用户的。 （因为主服务器维护一个会话并执行一些不是弹簧角色检查的用户权限验证）。

起初我想到了 client_credencials，但我需要在 clientid 和用户之间执行一些映射。这种需要在服务器上进行隐藏登录才能初始化用户会话。 这也不是推荐的流程（如 spring ClientCredentialsTokenEndpointFilter 代码中所写）

所以我想我想尝试一种不同的方法，比如 authrization_code，但我不想在这里进行任何重定向。我想要这么简单的东西。

1. 用户登录我们的应用程序（主服务器）
2. 生成授权请求 - 例如创建 API 密钥或其他内容。
3. 向用户显示授权码和状态
4. 用户转到另一台服务器并将代码和状态放在某处（无关紧要）
5. 其他服务器使用代码和状态来交换令牌。

我怎样才能做到这一点？ 谢谢

史洛米

Answer 1

您可以从您的服务器向远程服务器发送一个识别用户的 JWT，远程服务器可以将其用作“授权”以从您的服务器获取访问令牌。这称为 JWT 授权授予。规范（正在进行的工作）在这里：https://datatracker.ietf.org/doc/html/draft-ietf-oauth-jwt-bearer-12 但已经有许多实现。下面是一个示例 JSON 对象，可以对其进行编码以生成 JWT 的 JWT 声明对象：

 {
  "iss":"https://jwt-idp.example.com",
  "sub":"mailto:mike@example.com",
  "aud":"https://jwt-rp.example.net",
  "nbf":1300815780,
  "exp":1300819380,
  "http://claims.example.com/member":true
 }

为了向 JWT 提供上例中显示的声明和标头作为访问令牌请求的一部分，例如，客户端可能会发出以下 HTTPS 请求（额外的换行符仅用于显示目的）：

POST /token.oauth2 HTTP/1.1
Host: authz.example.net
Content-Type: application/x-www-form-urlencoded

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer
&assertion=eyJhbGciOiJFUzI1NiJ9.
eyJpc3Mi[...omitted for brevity...].
J9l-ZhwP[...omitted for brevity...]

当然双方的实现都需要支持这种授权类型，但是将它添加到现有的 OAuth 2.0 实现中应该太难了，因为它重用了大部分其他授权类型。