Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题

最新推荐文章于 2024-08-22 16:21:39 发布

RW-Dai

最新推荐文章于 2024-08-22 16:21:39 发布

阅读量1.2w

点赞数 4

分类专栏： java 文章标签： java spring

本文链接：https://blog.csdn.net/qq_24230139/article/details/105091273

版权

当Spring Gateway作为OAuth2ResourceServer时，`hasRole`配置无效，原因是默认的`JwtGrantedAuthoritiesConverter`仅读取'scope'和'scp'作为权限。解决方法是自定义`ReactiveAuthenticationManager`，并覆盖转换器以包含jwt中的'authorities'字段。在`ServerHttpSecurity`中添加自定义配置，确保`hasRole`中的值与jwt负载中的权限值匹配。

摘要由CSDN通过智能技术生成

文章目录

问题
解决方案
- JwtGrantedAuthoritiesConverter源码
- 自定义ReactiveAuthenticationManager
完整配置代码

文章原地址

问题

当gateway充当OAuth2ResourceServer的时候，会出现hasRole配置无效的问题。

原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。

简而言之，我们需要把jwt 的Claim中authorities的值加入这里有个人提出了这个问题，但是官方认为仅仅使用scope``scp这两个字段当做权限就足够了github issue

解决方案

我们重新定义一个ReactiveAuthenticationManager权限管理器默认的权限管理器使用jwtGrantedAuthoritiesConverter作为默认的转换器，就是这个转换器默认只读取"scope", "scp"这两个作为权限。

JwtGrantedAuthoritiesConverter源码

来看源码，源码不长。
convert方法可以理解为转换器的调用入口，从这个方法开始看

/**
 * Extracts the {@link GrantedAuthority}s from scope attributes typically found in a
 * {@link Jwt}.
 *
 * @author Eric Deandrea
 * @since 5.2
 */
public final class JwtGrantedAuthoritiesConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
	private static final String DEFAULT_AUTHORITY_PREFIX = "SCOPE_";

	private static final Collection<String> WELL_KNOWN_AUTHORITIES_CLAIM_NAMES =
			Arrays.asList("scope", "scp");

	private String authorityPrefix = DEFAULT_AUTHORITY_PREFIX;

	private String authoritiesClaimName;

	/**
	 * Extract {@link GrantedAuthority}s from the given {@link Jwt}.
	 *
	 * @param jwt The {@link Jwt} token
	 * @return The {@link GrantedAuthority authorities} read from the token scope