那些遇到过的问题

如何在同一个 Spring Boot 应用程序中使用多个“JWK Set Uri”值?

san*_*yav 7 spring spring-security oauth-2.0 spring-boot spring-security-oauth2

我需要使用两个不同的授权服务器(两个 Okta 实例)来验证来自作为后端 REST API 层的单个 Spring Boot 应用程序中的两个不同 Web 应用程序的身份验证令牌。

目前我有一台资源服务器使用以下配置:

@Configuration
@EnableWebSecurity
public class ResourceServerSecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception{
    http
      .authorizeRequests().antMatchers("/public/**").permitAll()
      .anyRequest().authenticated()
      .and()
      .oauth2ResourceServer().jwt();
  }
}
Run Code Online (Sandbox Code Playgroud) 
spring.security.oauth2.resourceserver.jwt.issuer-uri=https://dev-X.okta.com/oauth2/default
spring.security.oauth2.resourceserver.jwt.jwk-set-uri=https://dev-X.okta.com/oauth2/default/v1/keys
Run Code Online (Sandbox Code Playgroud)

并具有依赖项spring-security-oauth2-resource-serverspring-security-oauth2-jose在我的 Spring Boot 应用程序中(版本 2.2.4.RELEASE)

我想要进入的最终状态是,根据请求中设置的自定义 HTTP 标头,我想选择我的 Spring Boot 应用程序使用哪个 Okta 实例来解码和验证 JWT 令牌。

理想情况下,我的配置文件中有两个属性,如下所示:

jwkSetUri.X=https://dev-X.okta.com/oauth2/default/v1/keys
jwtIssuerUri.X=https://dev-X.okta.com/oauth2/default

jwkSetUri.Y=https://dev-Y.okta.com/oauth2/default/v1/keys
jwtIssuerUri.Y=https://dev-Y.okta.com/oauth2/default
Run Code Online (Sandbox Code Playgroud)

我应该能够使用 aRequestHeaderRequestMatcher来匹配安全配置中的标头值。我无法锻炼的是如何使用oauth2ResourceServer与安全配置相匹配的两个不同实例。

emi*_*pmp 8

从 Spring security 5.3+ 开始,可以使用 JwtIssuerAuthenticationManagerResolver 对象

覆盖configure(HttpSecurity http)扩展的配置类内部WebSecurityConfigurerAdapter

JwtIssuerAuthenticationManagerResolver authenticationManagerResolver = new JwtIssuerAuthenticationManagerResolver(
            "http://localhost:8080/auth/realms/SpringBootKeyClock",
            "https://accounts.google.com/o/oauth2/auth",
            "https://<subdomain>.okta.com/oauth2/default"
    );

http.cors()
            .and()
            .authorizeRequests()
            .antMatchers(HttpMethod.GET, "/user/info", "/api/foos/**")
            .hasAnyAuthority("SCOPE_email")
            .antMatchers(HttpMethod.POST, "/api/foos")
            .hasAuthority("SCOPE_profile")
            .anyRequest()
            .authenticated()
            .and()
            .oauth2ResourceServer(oauth2 -> oauth2.authenticationManagerResolver(authenticationManagerResolver));
Run Code Online (Sandbox Code Playgroud)

  • 我知道这是一年前的事了,但我想知道当有多个发行人时,如何对多个发行人使用上述方式并使用 JwtDecoder jwtDecoder() 验证受众?谢谢 (2认同)

小智 6

使用弹簧靴,现在不可能开箱即用。Spring Security 5.3 提供了执行此操作的功能(spring boot 2.2.6 仍然不支持 spring security 5.3)。请看以下问题:

https://github.com/spring-projects/spring-security/issues/7857
https://github.com/spring-projects/spring-security/pull/7887

通过遵循我提供的链接,可以手动配置资源服务器以使用多个身份提供者。提供的链接主要是针对spring boot webflux的开发。对于基本的 Spring Boot Web 开发,请观看此视频:

https://www.youtube.com/watch?v=ke13w8nab-k

归档时间:

查看次数:

4638 次

最近记录:

4 年,11 月 前
在运行时延迟初始化 spring 安全性 + 重新加载 spring 安全性配置 7
更多相关链接
相关归档
Tomcat没有向Web应用程序的上下文添加尾部斜杠 19
Spring 3中@Component和@Configuration之间的区别 14
最佳实践登录Facebook,Twitter,Google或注册 11
比较JAX-RS和Spring Rest服务 10
如何在Spring Security中进行用户身份验证期间访问HttpServletRequest对象? 8
扩展CrudRepository的@Autowired接口如何工作?我想有一些见解 8
来自服务器 [200] 的 HTTP 响应不允许 HTTP 升级到 WebSocket 7
Swagger Gradle插件在构建期间未正确为spring mvc生成openapi.json文件 5
如何在两个微服务(Spring-boot)之间进行两阶段提交? 4
Spring Security的在线用户 3
难疑归档
堆栈和堆的内容和位置是什么? 7847
Python有三元条件运算符吗? 5591
grep一个文件,但显示几个周围的行? 3277
如何在特定索引(JavaScript)的数组中插入项? 2709
.prop()vs .attr() 2249
如何在Ruby中编写switch语句 2026
Git拒绝合并关于rebase的无关历史 1862
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
jQuery document.createElement等价? 1226
创建将T限制为枚举的通用方法 1122