How-to: Add authorities as custom claims in JWT access tokens
本指南演示如何将资源所有者的权限添加到 JWT 访问令牌。术语“权限”可能表示资源所有者的不同形式,例如角色、权限或组。 为了让资源服务器可以使用资源所有者的权限,我们在访问令牌中添加了自定义声明。当客户端使用访问令牌访问受保护资源时,资源服务器将能够获取有关资源所有者访问级别的信息,以及其他可能的用途和好处。
Add custom claims to JWT access tokens
您可以使用 OAuth2TokenCustomizer<JWTEncodingContext> @Bean 向访问令牌添加自己的自定义声明。请注意,此 @Bean 只可定义一次,因此必须注意确保自定义的是适当令牌类型 — 在本例中是访问令牌。如果您有兴趣自定义 ID 令牌,请参阅 User Info Mapper guide 以了解更多信息。
以下是向访问令牌添加自定义声明的一个示例——换句话说,授权服务器发行的每个访问令牌都将填入自定义声明。
link:{examples-dir}/main/java/sample/customclaims/CustomClaimsConfiguration.java[role=include]Add authorities as custom claims to JWT access tokens
要将资源所有者的权限添加到 JWT 访问令牌,我们可以参考上述自定义声明映射方法,并使用 Principal 的权限填充自定义声明。
我们定义了一个拥有权限集的示例用户用于演示,并在访问令牌中使用这些权限填充自定义声明。
link:{examples-dir}/main/java/sample/customclaims/authorities/CustomClaimsWithAuthoritiesConfiguration.java[role=include]| 1 | 使用内存 UserDetailsService 定义示例用户 user1。 |
| 2 | 分配 user1 的角色。 |
| 3 | 定义一个 OAuth2TokenCustomizer<JwtEncodingContext> @Bean,该定义允许定制 JWT 声明。 |
| 4 | 检查 JWT 是否是访问令牌。 |
| 5 | 通过 JwtEncodingContext 访问默认声明。 |
| 6 | 从 Principal 对象中提取角色。角色信息存储为一个前缀有 ROLE_ 的字符串,因此我们在这里剥离前缀。 |
| 7 | 将自定义声明 roles 设置为从上一步收集的角色集。 |
通过此自定义,有关用户的权限信息将作为自定义声明包含在访问令牌中。