6. Java 配置

[lrkgithub]

章节Ⅱ Servlet 应用

6. Java 配置

对 Java Configuration 的基础支持在 Sprng 3.1 版本中就被加入到了 Spring Framework 中。从 Spring Security 3.2 开始， Spring Security 就支持 Java Configuration 使用户可以脱离任何 XML 来简单地配置 Spring Security。

如果你对 7 节，安全命名空间配置 熟悉的话，你应该能找到不少它和 Security Java Configuration 支持之间的共通性。

Spring Security 提供了不少示例来说明如何使用 Spring Security Java Configuration

6.1 Hello Web Security Java Configuration

第一步是创建我们的 Spring Security Java Configuration 。这个配置创建了一个 Servlet Filter ，就是众所周知的 springSecurityFilterChain ，它会对应用中的所有安全（保护应用 URLs，验证提交的用户名和密码，重定向 到登录表单）负责。在下面，你可以找到最基本的 Spring Security Java Configuration ：

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;

@EnableWebSecurity
public class WebSecurityConfig implements WebMvcConfigurer {

    @Bean
    public UserDetailsService userDetailsService() throws Exception {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withDefaultPasswordEncoder().username("user").password("password").roles("USER").build());
        return manager;
    }
}

这确实不是很多配置，但它的作用却很大。你可以在下面找到一个功能摘要：

• 对你的应用中的所有 URL 都需要认证
• 为你生成一个登录表单
• 允许用户使用 用户名“user” 和 密码“password” 基于表单进行身份验证
• 允许用户登出
• 预防 CSRF 攻击
• 保护 Session Fixation
• Security Header 集成
  • HTTP Strict Transport Security 对应安全请求
  • X-Content-Type-Options 集成
  • 缓存控制（在后面可以被你的应用重写，比如允许缓存静态资源）
  • X-XSS-Protection 集成
  • X-Frame-Options 集成来预防 ClickJacking
• 和以下的 Servlet API 进行集成
  • [HttpServletRequest#getRemoteUser()](https://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#getRemoteUser())
  • [HttpServletRequest#getUserPrincipal()](https://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#getUserPrincipal())
  • HttpServletRequest#isUserInRole(java.lang.String)
  • [HttpServletRequest#login(java.lang.String, java.lang.String)](https://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#login(java.lang.String, java.lang.String))
  • [HttpServletRequest#logout()](https://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#logout())

6.1.1 AbstractSecurityWebApplicationInitializer

下一步是使用 war 来注册 springSecurityFilterChain 。这在 Servlet 3.0+ 环境中，可以基于 Spring's WebApplicationInitializer support 用 Java Configuration 来完成。

• Section 6.1.2, “AbstractSecurityWebApplicationInitializer without Existing Spring” - 如果你没有使用 Spring ，使用这些配置
• Section 6.1.3, “AbstractSecurityWebApplicationInitializer with Spring MVC” - 如果你已经使用 Spring，使用这些配置

6.1.2 AbstractSecurityWebApplicationIInitializer 不依赖 Spring 容器

如果你没有使用 Spring or Spring MVC ，你就需要传入 wenSecurityConfig 到超类中，确保配置被获取。如下所示：

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {

    public SecurityWebApplicationInitializer() {
        super(WebSecurityConfig.class);
    }
}

SecurityWebApplicationInitializer 会做以下的事情：

• 自动为你的应用的每一个 URL 注册 springSecurityFilterChain Filter
• 增加一个 ContextLoaderListener 来加载 WebSecurityConfig

6.1.3 AbstractSecurityWebApplicationInitializer 依赖 Spring 容器

如果我们在应用的其他地方使用了 Spring ，那么大概已经有了一个用来加载 Spring Configuration 的 WebApplicationInitializer 。如果我们使用之前的配置，会得到一个 error。反之，我们应该将 Spring Security 注册到已有的 ApplicationContext 中。举例来说，如果我们使用 Spring MVC 或我们的 SecurityWebApplicationInitializer ，看上去会是这样：

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {

}

这会简单地为你的应用的每一个 URL 注册一个 springSecurityFilterChain Filter 。之后，我们需要确保 webSecurityConfig 被已经存在的 ApplicationInitializer 加载。举例来说，如果我们使用 Spring MVC ，这应该被加入到 getRootConfigClass()：

public class MvcWebApplicationInitializer extends
        AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { WebSecurityConfig.class };
    }

    // ... other overrides ...
}

6.2 HttpSecurity

至此，我们的 WebSecurityConfig 只包含关于认证用户的相关信息。Spring Seucrity 怎么知道我们希望所有用户都被认证呢？ Spring Security 怎么知道我们希望支持基于表单的认证？这是因为 WebSecurityConfiguraerAdapter 提供了一个默认配置，在 cofigure(HttpSecurity http) 方法中：

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .httpBasic();
}

默认配置有如下内容：

• 确保每一个对我们应用的请求，都要求用户被认证
• 允许用户基于表单进行登录
• 允许用户使用 HTTP Basic 进行认证

你会注意到这和 XML 命名空间的配置很相似：

<http>
    <intercept-url pattern="/**" access="authenticated"/>
    <form-login />
    <http-basic />
</http>

Java Configuration 使用 and() 来表示和 XML 关闭标志（<.../>）一样的作用，允许用户继续配置父类。如果你阅读代码的话，它也表达同样的意思。我希望配置认证请求，配置基于表单登录，配置 HTTP Basic 认证。

6.3 Java Configuration 和 表单登录

你可能想知道表单登录来自哪里，因为目前为止我们没有在任何的 HTML 文件或者 JSPs 里提到。因为 Spring Security 的默认配置没有明确地设置一个 URL 用作登录页面， Spring Security 自动生成了这一页面，基于使能的特性并且使用标准的 URL 值来处理提交的登录，用户会在登陆之后发送给默认的 URL，以及后续操作。

虽然自动生成的登录页面在启动时十分方便，运行起来也很快，但是绝大多数应用希望提供自己的登录页面。为了达到这个目的，我们可以更新我们的配置，如下所示：

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .loginPage("/login") 
            .permitAll();        
}

• 这个更新后的配置，明确了登录页面
• 我们必须保证所有用户都可以访问登录页面。formLogin().permitAll() 方法授予与基于表单登录页面相关的所有 URL ，全部用户都有访问权。

下面是一个用 JSP 实现的当前的配置的示例：

下面是一个我们当前配置的登录页面。如果这些默认配置不符合我们的需求，可以简单地更新这些配置

<c:url value="/login" var="loginUrl"/>
<form action="${loginUrl}" method="post">       
    <c:if test="${param.error != null}">        
        <p>
            Invalid username and password.
        </p>
    </c:if>
    <c:if test="${param.logout != null}">       
        <p>
            You have been logged out.
        </p>
    </c:if>
    <p>
        <label for="username">Username</label>
        <input type="text" id="username" name="username"/>  
    </p>
    <p>
        <label for="password">Password</label>
        <input type="password" id="password" name="password"/>  
    </p>
    <input type="hidden"                        
        name="${_csrf.parameterName}"
        value="${_csrf.token}"/>
    <button type="submit" class="btn">Log in</button>
</form>

• 一个 POST 请求到达 /login URL 地址时，会触发认证用户
• 如果 query 参数 error 存在，那么意味着认证被触发了并且失败
• 如果 query 参数 logout 存在，那么意味着用户成功地登出了
• 用户名必须使用 HTTP 参数 username 传入
• 密码必须使用 HTTP 参数 password 传入
• 必须理解 [包含 CSRF令牌]() 一节。了解更多，可以阅读 [10.6节，跨站点伪造请求（CSRF）]()。

6.4 授权请求

我们的示例仅仅针对我们应用的每一个 URL ，都要求用户进行认证。我们可以通过在 http.authorizeRequests() 方法下增加多个子配置，来指定自定义需求。举例来说：

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()                                                                
            .antMatchers("/resources/**", "/signup", "/about").permitAll()                  
            .antMatchers("/admin/**").hasRole("ADMIN")                                      
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            
            .anyRequest().authenticated()                                                   
            .and()
        // ...
        .formLogin();
}

• http.authorizeRequests() 下的多个子配置是按配置的顺序进行处理的
• 我们指定多个用户可以直接访问的 URL 匹配模式。特别的，用户可以直接请求，如果目标 URL 是以 “/resources”，等于 "/singup" ，或者等于 "/about"
• 任何以 "/admin" 开头的 URL 地址，都要求用户拥有 “ROLEADMIN” 身份。你会注意到，这里不需要增加 "ROLE" 前缀，因为我们调用了 hasRole 方法
• 任何以 “/db” 开头的 URL 地址，都要求用户同时拥有 "ROLE_ADMIN" 和 "ROLEDBA" 身份。你会注意到，这里也不需要增加 "ROLE" 前缀，因为我们调用了 hasRole 方法
• 任何没有被匹配到的 URL 。仅仅需要用户被认证

6.5 处理登出

[lrkgithub]

6.5 处理登出

当使用 WebSecurityConfigurerAdapter 时，登出功能是自动增加的。默认下，请求 URL /logout 将用户登出，步骤如下：

• 使 HTTP Session 无效
• 清理全部配置的 RememberMe 认证
• 清除 SecurityContextHolder
• 重定向到 /login?logout

然后，和配置登录功能类似，你也有许多选择来更细化配置登出需求

protected void configure(HttpSecurity http) throws Exception {
    http
        .logout()                                                                
            .logoutUrl("/my/logout")                                                 
            .logoutSuccessUrl("/my/index")                                           
            .logoutSuccessHandler(logoutSuccessHandler)                              
            .invalidateHttpSession(true)                                             
            .addLogoutHandler(logoutHandler)                                         
            .deleteCookies(cookieNamesToClear)                                       
            .and()
        ...
}

• 提供登出功能支持。当使用 WebSecurityConfigurerAdapter 时，这是自动提供的。
• 触发登出的 URL （默认是 /logout）。如果 CSRF 保护使能了（默认是使能的），那么请求还必须是一个 POST 方法。更多信息，请查看 JavaDoc。
• 登出发生后重定向到的 URL 地址。默认是 /login?logout 。更多信息，请查看 JavaDoc。
• 指定一个自定义的 LogoutSuccessHandler 。如果这被指定了，那么 logoutSuccessUrl() 方法会被忽略。更多信息，请查看 JavaDoc。
• 指定登出时， HttpSession 是否需要失效。默认是设置为 true 。在下面配置 SecurityContextLogoutHandler 。更多信息，请查看 JavaDoc。
• 增加一个 LogoutHandler 。SecurityContextLogoutHandler 被默认添加为最后一个 LogoutHandler 。
• 允许登出成功后，是否删除指定名字的 cookies 。这是显示添加 CookieClearingLogoutHandler 的快捷使用方式。

登出配置当然也可以使用 XML 命名空间方式来做。请查询 Spring Security XML Namespace 章节关于 logout element 的内容来获取更详细的内容。

通常，为了配置登出功能，你可以添加 LogoutHandler 和/或 LogoutSuccessHandler 实现。在更多场景下，这些 handlers 会在背后使用 fluent API 来完成。

6.5.1 LogoutHandler

通常，LogoutHandler 实现说明它是能够参与登出实现的类。他们被用来进行必要的清理工作。因此，他们不应该抛出异常。框架提供了多个实现：

• PersistentTokenBasedRememberMeService
• TokenBasedRememberMeService
• CookieClearingLogoutHandler
• CsrfLogoutHandler
• SecurityContextLogoutHandler
• HeaderWriterLogoutHandler

请阅读 [10.5.4节， Remember-Me 接口和实现]()，来获取更多细节。

6.5.2 LogoutSuccessHandler

LogoutSuccessHandler 在 LogoutFilter 成功处理登出之后被调用，用来处理，例如，重定向或者转发到合适远端地址。请注意，这个接口和 LogoutHandler 非常类似，但是会抛出异常。

下面的实现是框架提供的：

• SimpleUrlLogoutSuccessHandler
• HttpStatusReturningLogoutSuccessHandler

正如之前提到的，你并不需要直接指定 SimpleUrlLogoutSuccessHandler 。反之，fluent API 提供了一个快捷方式来操作，通过设置 logoutSuccessUrl() 。在内部，这将设置一个 SimpleUrlLogoutSuccessHandler 。登出成功后请求被重定向到提供的 URL 地址。默认地址是 /login?logout 。

在 REST API 场景下，HttpStatusReturningLogoutSuccessHandler 是很有意思的。在登出成功之后不是重定向到指定地址，而是用 LogoutSuccessHandler 提供的一个普通 HTTP 状态码返回。如果没有特别指定，默认是 200。

6.5.3 更多与登出相关的参考

• Logout Handling
• Testing Logout
• HttpServletRequest.logout()
• Section 10.5.4, “Remember-Me Interfaces and Implementations”
• Logging Out 在 CSRF 情境下的注意事项
• Single Logout (CAS 协议)
• logout element 在 Spring Security XML Namespace 章节的文档

6.6 OAuth 2.0 客户端

[lrkgithub]

6.6 OAuth 2.0 客户端

OAuth 2.0 客户端特性支持 OAuth 2.0 Authorization 框架定义的客户角色。

以下是可用的重要特性：

• Authorization Code Grant （认证码授权）
• Client Credentials Grant （客户凭证授权）
• 基于 Servlet 环境的 WebClient 扩展（用来保护对资源的请求）。

HttpSecurity.oauth2Client() 提供了许多配置选项来配置 OAuth 2.0 客户端。下面的代码展示了，对oauth2Client() DSL 全部可用的配置选项：

@EnableWebSecurity
public class OAuth2ClientSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .oauth2Client()
                .clientRegistrationRepository(this.clientRegistrationRepository())
                .authorizedClientRepository(this.authorizedClientRepository())
                .authorizedClientService(this.authorizedClientService())
                .authorizationCodeGrant()
                    .authorizationRequestRepository(this.authorizationRequestRepository())
                    .authorizationRequestResolver(this.authorizationRequestResolver())
                    .accessTokenResponseClient(this.accessTokenResponseClient());
    }
}

接下来的章节，会仔细研究这些可选配置的细节：

• Section 6.6.1, “ClientRegistration”
• Section 6.6.2, “ClientRegistrationRepository”
• Section 6.6.3, “OAuth2AuthorizedClient”
• Section 6.6.4, “OAuth2AuthorizedClientRepository / OAuth2AuthorizedClientService”
• Section 6.6.5, “RegisteredOAuth2AuthorizedClient”
• Section 6.6.6, “AuthorizationRequestRepository”
• Section 6.6.7, “OAuth2AuthorizationRequestResolver”
• Section 6.6.8, “OAuth2AccessTokenResponseClient”

6.6.1 ClientRegistration

ClientRegistration 代表了注册到 OAuth 2.0 或者 OpenID Connect 1.0 Provider 的客户端。

一个客户端注册类持有许多信息，例如，客户 ID ，客户端密钥，授权认证类型，重定向 URL， 范围，授权 URI ，等等其他细节。

以下是 ClientRegistration 和它的属性：

public final class ClientRegistration {
    private String registrationId;  
    private String clientId;    
    private String clientSecret;    
    private ClientAuthenticationMethod clientAuthenticationMethod;  
    private AuthorizationGrantType authorizationGrantType;  
    private String redirectUriTemplate; 
    private Set<String> scopes; 
    private ProviderDetails providerDetails;
    private String clientName;  

    public class ProviderDetails {
        private String authorizationUri;    
        private String tokenUri;    
        private UserInfoEndpoint userInfoEndpoint;
        private String jwkSetUri;   
        private Map<String, Object> configurationMetadata;  

        public class UserInfoEndpoint {
            private String uri; 
            private AuthenticationMethod authenticationMethod;  
            private String userNameAttributeName;   

        }
    }
}

• registrationId ： ClientRegistration 的唯一标识符
• clientId ： 客户端标识符
• clientSecret ： 客户端密钥
• clientAuthenticationMethod ： 用于通过 Provider 对客户端身份进行认证的方法。支持的值是 basic 和 post 。
• authorizationGrantType ： 授权认证类型。支持的类型有 authorization_code （授权码）， implicit（简化）， client_credentials（客户端）。
• redirectUriTemplate ： 在终端客户认证成功，并拥有访问权限之后，认证服务器重定向到终端用户代理的客户端注册的重定向 URI 。（The client’s registered redirect URI that the Authorization Server redirects the end-user’s user-agent to after the end-user has authenticated and authorized access to the client.）
• scopes ： 在客户端认证过程中，认证的范围，例如，openid，email 或者 profile 。
• clientName ： 用户使用的用户名。在特殊场景下可能会用到用户的用户名，例如在自动生成的登录页面展示用户名。
• authorizationUri ： 认证服务器的认证终端 URI 。
• tokenUri ： 认证服务器的令牌终端 URI 。
• jwkSetUri ： 从认证服务器取回 JSON Web Key（JWK）集合的 URI 。其中包含机密的秘钥，用来验证 ID 令牌的 JSON Web Signature（JWS） ，也可以用来验证 UserInfo Response 。
• configurationMetadata ： OpenID Provider Configuration Infomation 。只有当 Spring Boot 2.x 的 spring.security.oauth2.client.provider.[providerId].issuerUri 属性被配置了，才会生效。
• （userInfoEndpoint）uri ： 用来访问经过验证的终端用户的声明/属性的 UserInfo Endpoint URI 。
• （UserInfoEndpoint）authenticationMethod ： 用来向 UserInfo Endponit 发送登录 token 的认证方法。支持的值有 header ， form 和 query 。
• userNameAttributeName ：在 UserInfo Response 中返回的属性名，指向终端用户的名字或者标识符。

6.6.2 ClientRegistrationRepository

ClientRegistrationRepository 作为 OAuth 2.0 / OpenID Connect 1.0 ClientRegistration 的源。

客户端注册信息最终在相关的认证服务器上存储和维护。这个源提供了获取主要客户端注册信息子集的能力，这个子集也是存储的认证服务器上。

Spring Boot 2.x 自定配置将 spring.security,oauth2.registration.[registrationId] 下的所有属性绑定到 ClientRegistration ，并把每一个 ClientRegistration 存储在 ClientRegistrationRepository 中。

默认的 ClientRegistrationRepository 是 InMemoryRegistrationRepository 。

自动注入同样注册 ClientRegistrationRepository 为一个 ApplicationContext 中 @Bean ，因此如果别的应用需要这个 bean ，就可以依赖注入。

下面是一个示例：

@Controller
public class OAuth2ClientController {

    @Autowired
    private ClientRegistrationRepository clientRegistrationRepository;

    @RequestMapping("/")
    public String index() {
        ClientRegistration googleRegistration =
            this.clientRegistrationRepository.findByRegistrationId("google");

        ...

        return "index";
    }
}

6.6.3 OAuth2AuthorizedClient

OAuth2AuthorizedClient 是一个已授权的客户端的。当终端使用者（资源所有者）已授权客户访问受保护的资源时，就认为客户是已获得授权的。

OAuth2AuthorizedClient 用来将 OAuth2AccssToken （或者可选的 OAuthRefreshTokne）和 ClientRegistration （客户）以及 资源所有者相关联，后者是终端使用者的授权 Principal 。

6.6.4 OAuth2AuthorizedClientRepository / OAuth2AuthorizedClientService

[lrkgithub]

6.6.4 OAuth2AuthorizedClientRepository / OAuth2AuthorizedClientService

OAuth2AuthorizedClientRepository 的任务是在 Web 请求之间，持久化 OAuth2AuthorizedClient(s) 。然而， OAuth2AuthorizedClientService 的主要作用是在应用级别管理 OAuth2AuthorizedClient 。

从开发者角度， OAuth@AuthorizedClientRepository 或 OAuthorizedClientService 提供了寻找与客户端关联的 OAuth2AccessToken 的功能，以便能够是用来它初始化对受保护资源的请求。

Spring Boot 2.x 在自动配置中注册了一个 OAuthorizedClientRepository 和/或 OAuthorizedClientService @Bean 在 ApplicationContext 。

开发者可能也会注册一个 OAuthorizedClientRepository 或 OAuthAuthorizedClientService @Bean 到 ApplicationContext 中（重写 Spring Boot 的自动配置），这样就能够寻找与特定的 ClientRegistration （客户端）相关联的 OAuth2AccessToken 。

下面是一个示例：

@Controller
public class OAuth2LoginController {

    @Autowired
    private OAuth2AuthorizedClientService authorizedClientService;

    @RequestMapping("/userinfo")
    public String userinfo(OAuth2AuthenticationToken authentication) {
        // authentication.getAuthorizedClientRegistrationId() returns the
        // registrationId of the Client that was authorized during the oauth2Login() flow
        OAuth2AuthorizedClient authorizedClient =
            this.authorizedClientService.loadAuthorizedClient(
                authentication.getAuthorizedClientRegistrationId(),
                authentication.getName());

        OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

        ...

        return "userinfo";
    }
}

6.6.5 RegisteredOAuth2AuthorizedClient

@RegisteredOAuth2AuthorizedClient 注解能够为 OAuth2AuthorizedClient 类型的方法参数注入值。跟通过 OAuth2AuthorizedClientService 寻找 OAuth2AuthorizedClient 相比，这是一个简单的方法。

@Controller
public class OAuth2LoginController {

    @RequestMapping("/userinfo")
    public String userinfo(@RegisteredOAuth2AuthorizedClient("google") OAuth2AuthorizedClient authorizedClient) {
        OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

        ...

        return "userinfo";
    }
}

OAuth2AuthorizedClientArgumentResolver 管理 @RegisteredOAuth2AuthorizedClient ，并且提供一下能力：

• 如果客户端还未获得授权，那么 OAuth2AccessToken 将会自动请求授权
  • 对 authorized_code 来说，这将触发启动请求重定向流程
  • 对 client_credentials 来说，DefaultClientCredentialsTokenResponseClient 可以从 Token Endpoint 直接获取通行令牌

6.6.6 AuthorizationRequestRepository

AuthorizationRequestRepository 负责从 Authorization Request 到达到 Authorization Response 被接收到，获取 OAuth2AuthorizedRequest 的持久化内容（回调）。

OAuth2AuthorizationRequest 被用来关联和验证授权响应。

AuthorizationRequestRepository 的默认实现是 HttpSessionOAuth2AuthorizationRequestRepository 。这个实现，是把 OAuth2AuthorizationRequest 存储在 HttpSession 。

如果你想自己实现一个 AuthorizationRequestRepository 来把 OAuth2AuthorizationRequest 存储在 Cookie 。你可以像下面的代码一样配置：

@EnableWebSecurity
public class OAuth2ClientSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .oauth2Client()
                .authorizationCodeGrant()
                    .authorizationRequestRepository(this.cookieAuthorizationRequestRepository())
                    ...
    }

    private AuthorizationRequestRepository<OAuth2AuthorizationRequest> cookieAuthorizationRequestRepository() {
        return new HttpCookieOAuth2AuthorizationRequestRepository();
    }
}

6.6.7 OAuth2AuthorizationRequestResolver

OAuth2AuthorizationRequestResolver 的主要作用从受保护的 web 请求中解析 OAuth2AuthorizationRequest 。默认实现 DefaultOAuth2AuthorizationRequestResolver 会匹配（默认）路径 /oauth2/authorization/{registrationId} ，并从中提取出 registrationId ，并用它位相关联的 ClientRegistration 构建一个 OAuth2AuthorizationRequest 。

OAuth2AuthorizationRequestResolver 的一个主要使用场景是，利用它来解析 OAuth 2.0 Authorization Framework 中定义的标准参数之外的参数。

举例来说， OpenID Connect 通过扩展 OAuth 2.0 Authorization Framework 定义的标准参数，来为 Authorization Code Flow 定义了一下额外的 OAuth 2.0 请求参数。其中一个扩展的参数是 orimpt 。

可选的。空格分隔。用大小写敏感的 ASCII 字符串值来区分认证服务器是否提示终端使用者需要重认证或者认证成功。定义的值有： none，login，consent，select_account。

下面的例子展示了如何实现一个 OAuth2AuthorizationRequestResolver ，并为 oauth2Login()方法的认证请求自定义了一个 prompt=consect 的请求参数。

@EnableWebSecurity
public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private ClientRegistrationRepository clientRegistrationRepository;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .oauth2Login()
                .authorizationEndpoint()
                    .authorizationRequestResolver(
                            new CustomAuthorizationRequestResolver(
                                    this.clientRegistrationRepository));    
    }
}

public class CustomAuthorizationRequestResolver implements OAuth2AuthorizationRequestResolver {
    private final OAuth2AuthorizationRequestResolver defaultAuthorizationRequestResolver;

    public CustomAuthorizationRequestResolver(
            ClientRegistrationRepository clientRegistrationRepository) {

        this.defaultAuthorizationRequestResolver =
                new DefaultOAuth2AuthorizationRequestResolver(
                        clientRegistrationRepository, "/oauth2/authorization");
    }

    @Override
    public OAuth2AuthorizationRequest resolve(HttpServletRequest request) {
        OAuth2AuthorizationRequest authorizationRequest =
                this.defaultAuthorizationRequestResolver.resolve(request);  

        return authorizationRequest != null ?   
                customAuthorizationRequest(authorizationRequest) :
                null;
    }

    @Override
    public OAuth2AuthorizationRequest resolve(
            HttpServletRequest request, String clientRegistrationId) {

        OAuth2AuthorizationRequest authorizationRequest =
                this.defaultAuthorizationRequestResolver.resolve(
                    request, clientRegistrationId);    

        return authorizationRequest != null ?   
                customAuthorizationRequest(authorizationRequest) :
                null;
    }

    private OAuth2AuthorizationRequest customAuthorizationRequest(
            OAuth2AuthorizationRequest authorizationRequest) {

        Map<String, Object> additionalParameters =
                new LinkedHashMap<>(authorizationRequest.getAdditionalParameters());
        additionalParameters.put("prompt", "consent");  

        return OAuth2AuthorizationRequest.from(authorizationRequest)    
                .additionalParameters(additionalParameters) 
                .build();
    }
}

• 配置自定义 OAuth2AuthorizationRequestResolver
• 利用 DefaultOAuth2AuthorizationRequestResolver 来解析 OAuth2AuthorizationRequest
• 如果 OAuthAuthorizationRequest 被解析成功了，返回自定义的版本，否则返回 null
• 增加一个自定义参数到 OAuth2AuthorizationRequest.additionalParameters
• 拷贝一个默认的 OAuthAuthorizationRequest ，这会返回一个 OAuthAuthorizationRequest.Builder 以便更多的修改
• 重写默认的 additionalParameters

OAuth2AuthorizationRequest.Builder.build() 构造了一个 OAuth2AuthorizationRequest.authorizationRequestUri ，它代表完整的 Authorization Request URI，包含了使用 application/x-www-form-urlencoded 的 query 参数。

前面的示例，展示了增加一个自定义参数到标准参数上的常用场景。然而，如果你希望去除或者修改标准参数，或者你的需求要比这更高级，那么你需要得到构造一个 Authorization Request URI 的全部控制权。那么，此时你就需要重写 OAuth2AuthorizationRequest.authorizationRequestUri 参数。

下面的例子，展示了一种与前面不同的 customAuthorizationRequest() 方法，覆盖了 OAuth2AuthorizationRequest.authorizationRequestUri 属性。

private OAuth2AuthorizationRequest customAuthorizationRequest(
        OAuth2AuthorizationRequest authorizationRequest) {

    String customAuthorizationRequestUri = UriComponentsBuilder
            .fromUriString(authorizationRequest.getAuthorizationRequestUri())
            .queryParam("prompt", "consent")
            .build(true)
            .toUriString();

    return OAuth2AuthorizationRequest.from(authorizationRequest)
            .authorizationRequestUri(customAuthorizationRequestUri)
            .build();
}

6.6.8 OAuth2AccessTokenResponseClient

OAuth2AccessTokenResponseClient 的主要作用是在 认证服务器的 Token Endponit 用认证授权凭证交换访问令牌凭证。

OAuth2AccessTokenResponseClient 对 authorization_code 的默认实现是 DefaultAuthorizationCodeTokenResponseClient ，它使用了 RestOperations 在 Token Endpoint 来交换认证码和访问令牌。

DefaultAuthorizationCodeTokenResponseClient 是十分灵活的，允许你自定义 Token Request 的预处理和/或 Token Response 的后处理。

如果你需要自定义 Token Request 的预处理，你可以使用 DefaultAuthorizationCodeTokenResponseClient.setRequestEntityConverter() 方法，入参为自定义的 Converter<OAuth2AuthorizationCodeGrantRequest, RequestEntity<?>> 。默认实现 OAuth2AuthorizationCodeGrantRequestEntityConverter 构建了一个 RequestEntity 代表了标准的 OAuth 2.0 Access Token Request 。当然，提供一个自定义的 Converter 会允许你扩展标准的 Token Request，例如添加一个自定义的参数。

自定义的 Converter 必须返回一个合法的 RequestEntity ，这样才能够被预期的 OAuth 2.0 Provider 理解。

另一方面，如果你需要自定义 Token Response 的后处理，你需要使用 DefaultAuthorizationCodeTokenResponseClient.setRestOperations() ，入参为一个自定义配置的 RestOperations 。默认的 RestOperations 如下配置：

RestTemplate restTemplate = new RestTemplate(Arrays.asList(
        new FormHttpMessageConverter(),
        new OAuth2AccessTokenResponseHttpMessageConverter()));

restTemplate.setErrorHandler(new OAuth2ErrorResponseErrorHandler());

在发送 OAuth 2.0 Access Token Request 时候， Spring MVC 的 FormHtpMessageConverter 会被用到。

OAuth2AccessTokenResponseHttpMessageConverter 是一个处理 OAuth 2.0 Access Token Response 的 HttpMessageConverter。你可以使用 OAuth2AccessTokenResponseHttpMessageConverter.setTokenResponseConverter() ，入参是一个自定义的 Converter<Map<String, String>, OAuth2AccessTokenResponse>，用来转换 OAuth 2.0 Token Response 参数到一个 OAuth2AccessTokenResponse 。

OAuth2ErrorResponseErrorHandler 是一个 ResponseErrorHandler ，专门来处理 OAuth 2.0 Error（400 Bad Request） 。它用 OAuth2ErrorHttpMessageConverter 来转换 OAuth 2.0 Error 参数到一个 OAuth2Error。

无论你是自定义一个 DefaultAuthorizationCodeTokenResponseClient 还是提供你自己实现的 OAuth2AccessTokenResponseClient ，你都需要和如下代码一样的配置：

@EnableWebSecurity
public class OAuth2ClientSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .oauth2Client()
                .authorizationCodeGrant()
                    .accessTokenResponseClient(this.customAccessTokenResponseClient())
                    ...
    }

    private OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> customAccessTokenResponseClient() {
        ...
    }
}

6.7 OAuth 2.0 Login

利用 OAuth 2.0 Login 特性，应用可以使用户通过已有的程序来登录，例如 OAuth 2.0 Provider（例如，Github），或者 OpenID Connect 1.0 Provider（例如，Google）。OAuth 2.0 Login 实现了这种实现场景："Login with Google" 或者 "Login with Github" 。

OAuth 2.0 Login 使用 Authorization Code Grant 来实现，就是定义在 OAuth 2.0 Authorization Framework 和 OpenID Connect Core 1.0.

6.7.1 Spring Boot 2.x 示例

Spring Boot 2.x 为 OAuth 2.0 Login 带来了完整的自动配置。

这个章节展示了如何配置 OAuth 2.0 Login 示例，使用 Google 作为 Authentication Provider，并且包含了如下的话题：

• 初始化设置
• 设置重定向 URI
• 配置 application.yml
• 启动应用程序

初始化设置

使用 Google's OAuth 2.0 认证系统来登录，你必须设置在 Google API 控制台中设置项目来获取 OAuth 2.0 凭证。

Google's OAuth 2.0 实现符合 OpenID 1.0 规范，并且是 OpenID 认证的

跟随 OpenID Connect 页面的配置，从 “Setting up OAuth 2.0” 章节开始。

设置重定向 URI