【发布时间】:2018-05-17 00:48:10
【问题描述】:
TL;DR:如何根据用户的 access_token 在资源服务器端(即没有 JWT)为用户分配自定义角色/权限?
整个故事:我有一个工作的 Auth 服务器和一个客户端(即 SPA),它可以从 Auth 服务器获取 access_token。使用该 access_token 客户端可以在我的资源服务器(与身份验证服务器分开)上请求数据。资源服务器可以使用 access_token 从 Auth 服务器获取用户名。
我可以通过将Authentication 对象注入这样的方法来访问代码中的用户名:
@RequestMapping("/ping")
fun pingPong(auth: Authentication): String = "pong, " + auth.name
我的问题是如何根据用户名将我的自定义角色或权限(auth.authorities - 只有 USER_ROLE)添加到将在资源服务器而不是身份验证服务器上管理的对象。
我已经尝试了几种方法来做到这一点,但都没有帮助。最有希望的是:
@Configuration
@EnableWebSecurity
@EnableResourceServer
class ResourceServerConfigurer(val userDetailsService: MyUserDetailsService) : ResourceServerConfigurerAdapter() {
override fun configure(http: HttpSecurity) {
http.userDetailsService(userDetailsService) // userDetailsService is autowired
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and().authorizeRequests()
.antMatchers("/", "/index.html").permitAll()
.anyRequest().authenticated()
}
}
还有我的自定义 UserDetailsService:
@Service
class UserDetailsService : org.springframework.security.core.userdetails.UserDetailsService {
override fun loadUserByUsername(username: String): UserDetails {
return org.springframework.security.core.userdetails.User(username, "password", getAuthorities(username))
}
private fun getAuthorities(user: String): Set<GrantedAuthority> {
val authorities = HashSet<GrantedAuthority>()
authorities.addAll(listOf(
SimpleGrantedAuthority("ROLE_ONE"), //let's grant some roles to everyone
SimpleGrantedAuthority("ROLE_TWO")))
return authorities
}
}
一切正常(我的意思是我已成功通过身份验证),但我仍然只有 ROLE_USER。接下来我尝试的是提供 AbstractUserDetailsAuthenticationProvider 的自定义实现:
@Bean
fun authenticationProvider(): AbstractUserDetailsAuthenticationProvider {
return object : AbstractUserDetailsAuthenticationProvider() {
override fun retrieveUser(username: String, authentication: UsernamePasswordAuthenticationToken): UserDetails {
return User(username, "password", getAuthorities(username))
}
private fun getAuthorities(user: String): Set<GrantedAuthority> {
val authorities = HashSet<GrantedAuthority>()
authorities.addAll(listOf(
SimpleGrantedAuthority("ROLE_ONE"),
SimpleGrantedAuthority("ROLE_TWO")))
return authorities
}
override fun additionalAuthenticationChecks(userDetails: UserDetails, authentication: UsernamePasswordAuthenticationToken?) {
}
}
}
结果相同,只有 ROLE_USER 存在。
我真的很感谢你们在验证 access_token 并从 Auth 服务器获取用户名之后如何向 Authentication 对象添加一些角色的任何想法。
【问题讨论】:
-
我已将您的解决方案移至社区 wiki 答案。
标签: spring-boot spring-security oauth-2.0