WSO2 APIM - 在 JWT 负载中添加用户角色
Emi*_*aki 5 wso2 oauth-2.0 jwt wso2-api-manager
我正在开发一些通过 WSO2 APIM 公开 REST 的 SpringBoot 微服务。
微服务本身不实现任何类型的身份验证或授权机制,它委托给APIM。
如果我将 API 设置为使用此处所述的密码授予,前端应用程序可以进行身份验证并生成 JWT 令牌。
现在的问题是我无法从 JWT 负载中获取用户角色,因为 APIM 没有添加它。此信息很重要,因为前端根据用户角色呈现菜单和按钮。
我在生成令牌时传递的用户确实具有一些角色,如下所示:
但生成的 JWT 令牌不包含有关角色的任何信息。这是一个示例令牌:
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5UZG1aak00WkRrM05qWTBZemM1TW1abU9EZ3dNVEUzTVdZd05ERTVNV1JsWkRnNE56YzRaQT09In0.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.km4w2V7dGmoGl8f4_ZqKHvdofAPLOOw__GPjWKrpjYelbi7IjDIpRODEZNn8hE1krRdDTSjKRviJ-NBvXtTXIiLdfPh1p-zNtX26vrS77ZcSZ2WsQA7Ku21YMqcm6cyZvEhZ99qfTxOtbJfkwt6Yt8itkyr-aqk83pNp85LTnwtNboib9VOOvh37zNEJUImzKw4WvENp4SGLuHO978FriHyHPN9vibzPjpItW5DOXTFNdN4rP6RK_vcOH6hpuZHwivJpTHxf9qMB3Gd2yTig-Hkr-sZGbx89pQf8kqtCLWbhRG5jOtcEJNf2CSNLB0Glg_e4F6LfhVD5JUCz15jdlg
当我在https://jwt.io/中提取它时,我得到以下有效负载:
{
"http://wso2.org/claims/applicationtier": "Unlimited",
"http://wso2.org/claims/version": "v1",
"http://wso2.org/claims/keytype": "PRODUCTION",
"iss": "wso2.org/products/am",
"http://wso2.org/claims/applicationname": "Cadastro de Clientes",
"keytype": "SANDBOX",
"http://wso2.org/claims/enduser": "emilio@carbon.super",
"http://wso2.org/claims/enduserTenantId": "-1234",
"http://wso2.org/claims/subscriber": "admin",
"http://wso2.org/claims/tier": "Unlimited",
"scope": "default",
"exp": "1599562948028",
"http://wso2.org/claims/applicationid": "2",
"http://wso2.org/claims/usertype": "Application_User",
"consumerKey": "KIi7gRMQbh59fFnjU8XMnxFroi4a",
"http://wso2.org/claims/apicontext": "/bkng/v1"
}
如何将用户角色添加到 JWT 负载?我是否需要按照此处所述实现自定义生成器?
提前致谢!
获取身份验证 JWT 中包含的角色声明的最简单方法是在服务提供商级别添加声明映射并请求具有 openid 范围的令牌。为此,请尝试以下步骤。
登录管理控制台
https://<host>:<port>/carbon在左侧菜单中列出服务提供商
去编辑所需的服务提供商(开发者门户中的每个应用程序都有一个地图服务提供商)
添加声明映射到
role声明,如下所示
scope=openid发送带参数的token请求
Run Code Online (Sandbox Code Playgroud)curl -k -X POST https://localhost:8243/token -d "grant_type=password&username=<Username>&password=<Password>&scope=openid" -H "Authorization: Basic <Credentials>"响应访问令牌将包含此格式的角色
Run Code Online (Sandbox Code Playgroud)curl -k -X POST https://localhost:8243/token -d "grant_type=password&username=<Username>&password=<Password>&scope=openid" -H "Authorization: Basic <Credentials>"
- 是的!它是这样工作的。实际上我做了一些非常不同的事情,在这种情况下,我设置了 IS-KM 并使用 OAuth2/OIDC 配置了 SSO,因此当用户请求访问受保护资源时,请求将转发到 IS 登录页面,当授予访问权限时,会生成一个令牌通过回调URL转发。但是当您不使用 WEB API 客户端时,您的方法是完美的。谢谢你! (2认同)
| 归档时间: |
|
| 查看次数: |
1278 次 |
| 最近记录: |