弃用 spring-security-oauth 作为客户端答案

【问题标题】：Deprecate spring-security-oauth as a client弃用 spring-security-oauth 作为客户端
【发布时间】：2020-04-13 01:20:33
【问题描述】：

我现在想从 spring-security-oauth 转移到 spring-security，但我找不到任何这样做的方法。我搜索了很多，我只能找到有关提供 OAuth 端点的示例。

我目前的 OAuth2RestTemplate 有点复杂，因为 oauth 服务器没有使用标准的识别方式，受 here 的启发。

这是我的 OAuth2RestTemplate：

fun createOAuthRestTemplate(resourceDetails: OAuth2ProtectedResourceDetails): OAuth2RestTemplate {

    val clientCredentialsAccessTokenProvider = ClientCredentialsAccessTokenProvider()
    clientCredentialsAccessTokenProvider.setAuthenticationHandler(<myClientAuthenticationHandler extends ClientAuthenticationHandler>))
    clientCredentialsAccessTokenProvider.setRequestFactory(requestFactory)

    val oauthTemplate = OAuth2RestTemplate(resourceDetails)
    oauthTemplate.setAccessTokenProvider(clientCredentialsAccessTokenProvider)
    return oauthTemplate
  }

不幸的是，spring migration guide 对我没有多大帮助，因为它只是提到了 RestTemplate，但没有详细说明。

[...] 
A Simplified RestTemplate and WebClient
Spring Security OAuth extends RestTemplate, introducing OAuth2RestTemplate. 
This class needs to be instantiated and exposed as a @Bean.

Spring Security chooses to favor composition and instead exposes an 
OAuth2AuthorizedClientService, which is useful for creating RestTemplate interceptors 
[...]

我现在的问题是：
如何使用 spring-security 在 rest 模板中获得相同的功能？

【问题讨论】：

标签： spring spring-boot spring-security spring-security-oauth2

【解决方案1】：

OAuth 2.0 与 Spring Security 5 和 RestTemplate

Spring Security 5.2 不直接支持RestTemplate，不过它有简化工作的bean。如果可以，建议使用use WebClient，而不是RestTemplate。

但是，如果你需要使用RestTemplate，那么你首先要创建一个OAuth2AuthorizedClientManager：

@Bean
OAuth2AuthorizedClientManager authorizeClientManager(
    ClientRegistrationRepository clients,
    OAuth2AuthorizedClientRepository authorizedClients) {

    DefaultOAuth2AuthorizedClientManager manager =
        new DefaultOAuth2AuthorizedClientManager(clients, authorizedClients);

    OAuth2AuthorizedClientProvider authorizedClientProvider =
            OAuth2AuthorizedClientProviderBuilder.builder()
                .clientCredentials()
                .build();
    manager.setAuthorizedClientProvider(authorizedClientProvider);
    return manager;
}

您可以在此管理器 bean 中决定您希望拦截器为您协商的授权类型的种类。它类似于您帖子中的ClientCredentialsAccessTokenProvider。

其次，您需要创建一个RestTemplate 拦截器。它将要求经理为其获取令牌，然后将该令牌添加到 Authorization 标头：

@Component
public class OAuth2AuthorizedClientInterceptor implements ClientHttpRequestInterceptor {
    OAuth2AuthorizedClientManager manager;

    public OAuth2AuthorizedClientInterceptor(OAuth2AuthorizedClientManager manager) {
        this.manager = manager;
    }

    public ClientHttpResponse intercept(
        HttpRequest request, byte[] body, ClientHttpRequestExecution execution) 
        throws IOException {

        Authentication principal = // ...

        OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest
             .withClientRegistrationId("foo-client")
             .principal(principal)
             .build();
        OAuth2AuthorizedClient authorizedClient = 
            this.manager.authorize(authorizedRequest);

        HttpHeaders headers = httpRequest.getHeaders();
        headers.setBearerAuth(authorizedClient.getAccessToken().getValue());

        return execution.execute(request, body);
    }
}

在 Spring Security 5 中，每个客户端都由一个注册 ID 表示。注册 ID 代替 foo-client。

principal 将取决于您的具体情况，但通常使用 SecurityContextHolder.getContext().getAuthentication() 就足够了。如果上下文中没有用户，您可以考虑AnonymousAuthenticationToken，例如

Authentication principal = new AnonymousAuthenticationToken
    ("key", "anonymous", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));

最后，您可以将拦截器添加到您的RestTemplate：

@Bean
public RestTemplate rest(OAuth2AuthorizedClientInterceptor interceptor) {
    RestTemplate rest = new RestTemplate();
    rest.getInterceptors().add(interceptor);
    return rest;
}

JWT 客户端身份验证

至于您提到的帖子，它正在为客户端身份验证进行 JWT。对于此支持，您需要查看配置 DefaultClientCredentialsTokenResponseClient。这将是您在第一步中构建的管理器的一部分：

@Bean
OAuth2AuthorizedClientManager authorizeClientManager(
    ClientRegistrationRepository clients,
    OAuth2AuthorizedClientRepository authorizedClients) {

    DefaultOAuth2AuthorizedClientManager manager =
        new DefaultOAuth2AuthorizedClientManager(clients, authorizedClients);

    DefaultClientCredentialsTokenResponseClient tokenClient =
            new DefaultClientCredentialsTokenResponseClient();
    tokenClient.setRequestEntityConverter(fooConverter);

    OAuth2AuthorizedClientProvider authorizedClientProvider =
            OAuth2AuthorizedClientProviderBuilder.builder()
                .clientCredentials(cc -> cc
                        .accessTokenResponseClient(tokenClient))
                .build();
    manager.setAuthorizedClientProvider(authorizedClientProvider);
    return manager;
}

fooConverter 是您为创建适当的RequestEntity 实例而指定的任何转换器。比如：

// ...
tokenClient.setRequestEntityConverter(grantRequest -> {
    ClientRegistration client = grantRequest.getClientRegistration();
    // ... formulate JWT
    // ... create `RequestEntity`, including `Authorization` header
    // that includes JWT as the bearer token
});

这个setter setRequestEntityConverter 是旧项目中ClientAuthenticationHandler 的功能等价物。

【讨论】：

谢谢，我会看看 Webclient，否则看看你的 RestTemplate 示例:)
在哪里可以添加this post 中描述的代码？我想做的基本上就是那个hack。我现在明白了，我是否使用 RestTemplate 或 WebClient 并不重要，但我需要了解在什么时候我可以将我的 AuthenticationHandler 连接到新的授权机制中。你知道我该怎么做吗？ @jzheaux
感谢@RuthiRuth 的澄清，我添加了一个新部分，讨论了 ClientAuthenticationHandler 的等效功能。
非常感谢@jzheaux 的帮助。我必须进行一些调整才能达到我在您的示例中所处的位置，但我现在被卡住了。我有一个问题，当我使用你的拦截器时，在OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("foo-client").build(); 处出现错误“主体不能为空”。我在网络上的任何地方都可以找到一个控制器，它也获取 Authentication 对象，但是我在哪里可以在拦截器中获取它？还尝试了 webclient，但不够熟悉以适应它，它只是在那里说 401 :( 有什么想法吗？
我必须做出的调整是在经理身上。我无法访问'accessTokenResponseClient'，所以不得不使用.clientCredentials { configurer -> configurer.accessTokenResponseClient(tokenClient) }(kotlin) 也许你可以编辑你的答案 - 或者我可以在你的许可下编辑它，所以我可以接受你的答案作为其他人的工作示例？ :)