Spring Authorization-自定义JWT中携带的claims与资源服务jwt解析器

在Spring Authorization Server中自定义JWT（JSON Web Token）中携带的claims，并在资源服务端配置JWT解析器，是实现安全微服务架构的关键环节。下面是如何进行这两部分配置的简要指南：

1. 自定义JWT中的Claims

Spring Authorization Server允许你自定义JWT令牌中包含的信息。这通常通过实现一个JwtEncoder bean来完成，特别是当你使用的是JWT令牌作为访问令牌时。以下是一个简化的例子，展示了如何向JWT中添加自定义claims：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.jwt.JwtClaimsSet;
import org.springframework.security.oauth2.jwt.JwtEncoder;
import org.springframework.security.oauth2.jwt.JwtEncoderFactory;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;

@Configuration
public class JwtCustomizationConfig {

    @Bean
    public OAuth2TokenCustomizer<JwtEncodingContext> jwtCustomizer(JwtEncoder encoder) {
        return context -> {
            if (context.getTokenType().getValue().equals("Bearer")) {
                JwtClaimsSet.Builder claims = context.getClaims();
                // 添加自定义claims
                claims.claim("custom_claim", "custom_value");
                // 可以从上下文中获取更多信息，例如用户的用户名、角色等
                // claims.claim("user_name", context.<String>getClaim("sub"));
            }
        };
    }

    // 如果需要自定义JwtEncoder（例如，使用不同的签名算法），可以在这里配置
    // 但通常情况下，Spring Authorization Server会自动配置一个默认的JwtEncoder
}

2. 资源服务端JWT解析器配置

在资源服务端，你需要配置JWT解析器来验证和解析从客户端接收到的JWT令牌。Spring Security提供了方便的方式来配置JWT解析逻辑：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.NimbusJwtDecoder;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests(authorize -> authorize
                // 资源访问规则配置
                .anyRequest().authenticated()
            )
            .oauth2ResourceServer(oauth2 -> oauth2
                .jwt(jwt -> jwt.decoder(jwtDecoder()))
            );
    }

    @Bean
    public JwtDecoder jwtDecoder() {
        // 这里假设使用Nimbus库解码JWT，你需要提供公钥或JWK集的URL
        NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withJwkSetUri("http://your-authority-server/.well-known/jwks.json").build();
        // 可以在此处添加额外的JWT验证逻辑，例如检查特定的claims
        return jwtDecoder;
    }
}

在这个例子中，我们使用了Nimbus库作为JWT解码器，并指定了JWK集的URL来验证JWT签名。确保你的授权服务器暴露了一个.well-known/jwks.json端点，以便资源服务器可以下载公钥验证JWT。

通过上述配置，你可以灵活地在JWT中添加自定义claims，并在资源服务端安全地验证和解析这些令牌。