我有一个简单的 OAuth2 应用程序。我首先创建了一个扩展 WebSecurityConfigurerAdapter 的 SecurityConfig,并用 @EnableOAuth2Sso 进行了注释。我还在控制器中创建了一个 API 来测试身份验证是否有效。Principal 被注入控制器并给出正确的名称。
我现在试图通过实现 AuthoritiesExtractor 并将其创建为 bean 来向主体添加一些权限。我也对 PrincipalExtractor 做了同样的事情来检查它是否工作。在从浏览器发出任何请求时,它们都不会被调用。
编辑:这实际上只是使用 OIDC 进行身份验证,因此我的客户端和资源在同一个应用程序上。
// 这是我的安全配置类。
@Configuration
@EnableOAuth2Sso
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/**")
.authorizeRequests()
.antMatchers("/login**","/error**")
.permitAll()
.anyRequest()
.authenticated();
}
@Bean
public PrincipalExtractor principalExtractor() {
return map -> {
System.out.println("Principal extracted.");
User user = new User();
user.setUsername((String)map.get("username"));
return user;
};
}
@Bean
public AuthoritiesExtractor authoritiesExtractor() {
return new PrismAuthoritiesExtractor();
}
}
// 这是我单独定义的 …