最新の安定バージョンについては、Spring Security 6.4.4 を使用してください! |
認可付与サポート
認証コード
| 認証コード [IETF] (英語) 付与の詳細については、OAuth 2.0 認可フレームワークを参照してください。 |
認可の取得
| 認証コードの付与については、認可リクエスト / レスポンス [IETF] (英語) プロトコルフローを参照してください。 |
認可リクエストの開始
OAuth2AuthorizationRequestRedirectWebFilter は ServerOAuth2AuthorizationRequestResolver を使用して OAuth2AuthorizationRequest を解決し、エンドユーザーのユーザーエージェントを認証サーバーの認証エンドポイントにリダイレクトすることで認証コード付与フローを開始します。
ServerOAuth2AuthorizationRequestResolver の主なロールは、提供された Web リクエストから OAuth2AuthorizationRequest を解決することです。デフォルト実装 DefaultServerOAuth2AuthorizationRequestResolver は、registrationId を抽出し、それを使用して関連 ClientRegistration の OAuth2AuthorizationRequest を構築する(デフォルト)パス /oauth2/authorization/{registrationId} で一致します。
OAuth 2.0 クライアント登録用の次の Spring Boot 2.x プロパティがあるとします。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
authorization-grant-type: authorization_code
redirect-uri: "{baseUrl}/authorized/okta"
scope: read, write
provider:
okta:
authorization-uri: https://dev-1234.oktapreview.com/oauth2/v1/authorize
token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token ベースパス /oauth2/authorization/okta を使用したリクエストは、OAuth2AuthorizationRequestRedirectWebFilter による認可リクエストリダイレクトを開始し、最終的に認可コード認可フローを開始します。
AuthorizationCodeReactiveOAuth2AuthorizedClientProvider は、認可コード付与のための ReactiveOAuth2AuthorizedClientProvider の実装であり、OAuth2AuthorizationRequestRedirectWebFilter による認可リクエストリダイレクトも開始します。 |
OAuth 2.0 クライアントがパブリッククライアント [IETF] (英語) の場合、OAuth 2.0 クライアントの登録を次のように構成します。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-authentication-method: none
authorization-grant-type: authorization_code
redirect-uri: "{baseUrl}/authorized/okta"
...コード交換用の証明キー [IETF] (英語) (PKCE)を使用したパブリッククライアントがサポートされています。クライアントが信頼されていない環境(ネイティブアプリケーションまたは Web ブラウザーベースのアプリケーションなど)で実行されているため、その資格情報の機密性を維持できない場合、次の条件に該当する場合、PKCE が自動的に使用されます。
client-secretは省略されます (または空)client-authentication-methodは "none" に設定されています (ClientAuthenticationMethod.NONE)
OAuth 2.0 プロバイダーが機密クライアント [IETF] (英語) の PKCE をサポートしている場合は、(オプションで) DefaultServerOAuth2AuthorizationRequestResolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce()) を使用して構成できます。 |
DefaultServerOAuth2AuthorizationRequestResolver は、UriComponentsBuilder を使用して redirect-uri の URI テンプレート変数もサポートします。
次の構成では、サポートされているすべての URI テンプレート変数を使用します。
spring:
security:
oauth2:
client:
registration:
okta:
...
redirect-uri: "{baseScheme}://{baseHost}{basePort}{basePath}/authorized/{registrationId}"
...{baseUrl} は {baseScheme}://{baseHost}{basePort}{basePath} に解決されます |
URI テンプレート変数を使用して redirect-uri を構成することは、OAuth 2.0 クライアントがプロキシサーバーの背後で実行されている場合に特に役立ちます。これにより、redirect-uri を展開するときに X-Forwarded-* ヘッダーが使用されます。
認可リクエストのカスタマイズ
ServerOAuth2AuthorizationRequestResolver が実現できる主なユースケースの 1 つは、OAuth 2.0 認可フレームワークで定義された標準パラメーターを超える追加パラメーターを使用して認可リクエストをカスタマイズする機能です。
例: OpenID Connect は、OAuth 2.0 認証フレームワーク [IETF] (英語) で定義された標準パラメーターから拡張された、認証コードフロー (英語) の追加の OAuth 2.0 リクエストパラメーターを定義します。これらの拡張パラメーターの 1 つは prompt パラメーターです。
| オプション。認可サーバーがエンドユーザーに再認証と同意を求めるかどうかを指定する、ASCII 文字列値のスペース区切りの大文字と小文字を区別したリスト。定義されている値は、none、login、consent、select_account です。 |
以下の例は、リクエストパラメーター prompt=consent を含めることにより、oauth2Login() の認可リクエストをカスタマイズする Consumer<OAuth2AuthorizationRequest.Builder> で DefaultServerOAuth2AuthorizationRequestResolver を構成する方法を示しています。
Java
Kotlin
@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {
@Autowired
private ReactiveClientRegistrationRepository clientRegistrationRepository;
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
http
.authorizeExchange(authorize -> authorize
.anyExchange().authenticated()
)
.oauth2Login(oauth2 -> oauth2
.authorizationRequestResolver(
authorizationRequestResolver(this.clientRegistrationRepository)
)
);
return http.build();
}
private ServerOAuth2AuthorizationRequestResolver authorizationRequestResolver(
ReactiveClientRegistrationRepository clientRegistrationRepository) {
DefaultServerOAuth2AuthorizationRequestResolver authorizationRequestResolver =
new DefaultServerOAuth2AuthorizationRequestResolver(
clientRegistrationRepository);
authorizationRequestResolver.setAuthorizationRequestCustomizer(
authorizationRequestCustomizer());
return authorizationRequestResolver;
}
private Consumer<OAuth2AuthorizationRequest.Builder> authorizationRequestCustomizer() {
return customizer -> customizer
.additionalParameters(params -> params.put("prompt", "consent"));
}
}@Configuration
@EnableWebFluxSecurity
class SecurityConfig {
@Autowired
private lateinit var customClientRegistrationRepository: ReactiveClientRegistrationRepository
@Bean
fun securityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
http {
authorizeExchange {
authorize(anyExchange, authenticated)
}
oauth2Login {
authorizationRequestResolver = authorizationRequestResolver(customClientRegistrationRepository)
}
}
return http.build()
}
private fun authorizationRequestResolver(
clientRegistrationRepository: ReactiveClientRegistrationRepository): ServerOAuth2AuthorizationRequestResolver {
val authorizationRequestResolver = DefaultServerOAuth2AuthorizationRequestResolver(
clientRegistrationRepository)
authorizationRequestResolver.setAuthorizationRequestCustomizer(
authorizationRequestCustomizer())
return authorizationRequestResolver
}
private fun authorizationRequestCustomizer(): Consumer<OAuth2AuthorizationRequest.Builder> {
return Consumer { customizer ->
customizer
.additionalParameters { params -> params["prompt"] = "consent" }
}
}
} 追加のリクエストパラメーターが特定のプロバイダーに対して常に同じである単純なユースケースでは、authorization-uri プロパティに直接追加できます。
例: リクエストパラメーター prompt の値がプロバイダー okta に対して常に consent である場合、単に以下のように構成します。
spring:
security:
oauth2:
client:
provider:
okta:
authorization-uri: https://dev-1234.oktapreview.com/oauth2/v1/authorize?prompt=consent 上記の例は、標準パラメーターの上にカスタムパラメーターを追加する一般的な使用例を示しています。また、要件がより高度な場合は、OAuth2AuthorizationRequest.authorizationRequestUri プロパティをオーバーライドするだけで、認可リクエスト URI の作成を完全に制御できます。
OAuth2AuthorizationRequest.Builder.build() は OAuth2AuthorizationRequest.authorizationRequestUri を構築します。OAuth2AuthorizationRequest.authorizationRequestUri は、application/x-www-form-urlencoded 形式を使用するすべてのクエリパラメーターを含む認証リクエスト URI を表します。 |
次の例は、前の例の authorizationRequestCustomizer() のバリエーションを示し、代わりに OAuth2AuthorizationRequest.authorizationRequestUri プロパティをオーバーライドします。
Java
Kotlin
private Consumer<OAuth2AuthorizationRequest.Builder> authorizationRequestCustomizer() {
return customizer -> customizer
.authorizationRequestUri(uriBuilder -> uriBuilder
.queryParam("prompt", "consent").build());
}private fun authorizationRequestCustomizer(): Consumer<OAuth2AuthorizationRequest.Builder> {
return Consumer { customizer: OAuth2AuthorizationRequest.Builder ->
customizer
.authorizationRequestUri { uriBuilder: UriBuilder ->
uriBuilder
.queryParam("prompt", "consent").build()
}
}
}認証リクエストの保存
ServerAuthorizationRequestRepository は、認可リクエストが開始されてから認可レスポンスが受信されるまで(コールバック)、OAuth2AuthorizationRequest の永続化を担当します。
OAuth2AuthorizationRequest は、認可レスポンスを関連付けて検証するために使用されます。 |
ServerAuthorizationRequestRepository のデフォルトの実装は WebSessionOAuth2ServerAuthorizationRequestRepository で、WebSession に OAuth2AuthorizationRequest を格納します。
ServerAuthorizationRequestRepository のカスタム実装がある場合、次の例に示すように構成できます。
Java
Kotlin
@Configuration
@EnableWebFluxSecurity
public class OAuth2ClientSecurityConfig {
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
http
.oauth2Client(oauth2 -> oauth2
.authorizationRequestRepository(this.authorizationRequestRepository())
...
);
return http.build();
}
}@Configuration
@EnableWebFluxSecurity
class OAuth2ClientSecurityConfig {
@Bean
fun securityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
http {
oauth2Client {
authorizationRequestRepository = authorizationRequestRepository()
}
}
return http.build()
}
}アクセストークンのリクエスト
| 認証コードの付与については、アクセストークンリクエスト / レスポンス [IETF] (英語) プロトコルフローを参照してください。 |
認可コード付与の ReactiveOAuth2AccessTokenResponseClient のデフォルト実装は WebClientReactiveAuthorizationCodeTokenResponseClient です。これは、認可サーバーのトークンエンドポイントでアクセストークンの認可コードを交換するために WebClient を使用します。
WebClientReactiveAuthorizationCodeTokenResponseClient は、トークンリクエストの前処理やトークンレスポンスのリアクティブ処理をカスタマイズできるため、非常に柔軟です。
アクセストークンリクエストのカスタマイズ
トークンリクエストの前処理をカスタマイズする必要がある場合は、WebClientReactiveAuthorizationCodeTokenResponseClient.setParametersConverter() にカスタム Converter<OAuth2AuthorizationCodeGrantRequest, MultiValueMap<String, String>> を提供できます。デフォルトの実装では、リクエストの作成に使用される標準 OAuth 2.0 アクセストークンリクエスト [IETF] (英語) の grant_type パラメーターのみを含む MultiValueMap<String, String> が作成されます。認証コードの付与に必要なその他のパラメーターは、WebClientReactiveAuthorizationCodeTokenResponseClient によってリクエストの本文に直接追加されます。ただし、カスタム Converter を提供すると、標準のトークンリクエストを継承し、カスタムパラメーターを追加できます。
追加のパラメーターのみを追加する場合は、代わりに、集約 Converter を構成するカスタム Converter<OAuth2AuthorizationCodeGrantRequest, MultiValueMap<String, String>> を WebClientReactiveAuthorizationCodeTokenResponseClient.addParametersConverter() に提供できます。 |
カスタム Converter は、目的の OAuth 2.0 プロバイダーによって理解される OAuth 2.0 アクセストークンリクエストの有効なパラメーターを返す必要があります。 |
アクセストークンレスポンスのカスタマイズ
一方、トークンレスポンスのポストハンドリングをカスタマイズする必要がある場合は、OAuth 2.0 アクセストークンレスポンスを OAuth2AccessTokenResponse に変換するために使用されるカスタム構成の BodyExtractor<Mono<OAuth2AccessTokenResponse>, ReactiveHttpInputMessage> を WebClientReactiveAuthorizationCodeTokenResponseClient.setBodyExtractor() に提供する必要があります。OAuth2BodyExtractors.oauth2AccessTokenResponse() によって提供されるデフォルトの実装は、レスポンスを解析し、それに応じてエラーを処理します。
WebClient のカスタマイズ
または、要件がより高度な場合は、WebClientReactiveAuthorizationCodeTokenResponseClient.setWebClient() にカスタム構成された WebClient を提供するだけで、リクエスト / レスポンスを完全に制御できます。
WebClientReactiveAuthorizationCodeTokenResponseClient をカスタマイズする場合でも、ReactiveOAuth2AccessTokenResponseClient の独自の実装を提供する場合でも、次の例に示すように構成する必要があります。
Java
Kotlin
@Configuration
@EnableWebFluxSecurity
public class OAuth2ClientSecurityConfig {
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
http
.oauth2Client(oauth2 -> oauth2
.authenticationManager(this.authorizationCodeAuthenticationManager())
...
);
return http.build();
}
private ReactiveAuthenticationManager authorizationCodeAuthenticationManager() {
WebClientReactiveAuthorizationCodeTokenResponseClient accessTokenResponseClient =
new WebClientReactiveAuthorizationCodeTokenResponseClient();
...
return new OAuth2AuthorizationCodeReactiveAuthenticationManager(accessTokenResponseClient);
}
}@Configuration
@EnableWebFluxSecurity
class OAuth2ClientSecurityConfig {
@Bean
fun securityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
http {
oauth2Client {
authenticationManager = authorizationCodeAuthenticationManager()
}
}
return http.build()
}
private fun authorizationCodeAuthenticationManager(): ReactiveAuthenticationManager {
val accessTokenResponseClient = WebClientReactiveAuthorizationCodeTokenResponseClient()
...
return OAuth2AuthorizationCodeReactiveAuthenticationManager(accessTokenResponseClient)
}
}リフレッシュトークン
| リフレッシュトークン [IETF] (英語) の詳細については、OAuth 2.0 Authorization フレームワークを参照してください。 |
アクセストークンのリフレッシュ
| リフレッシュトークンの付与については、アクセストークンリクエスト / レスポンス [IETF] (英語) プロトコルフローを参照してください。 |
リフレッシュトークン付与の ReactiveOAuth2AccessTokenResponseClient のデフォルト実装は WebClientReactiveRefreshTokenTokenResponseClient です。これは、認可サーバーのトークンエンドポイントでアクセストークンをリフレッシュするときに WebClient を使用します。
WebClientReactiveRefreshTokenTokenResponseClient は、トークンリクエストの前処理やトークンレスポンスのリアクティブ処理をカスタマイズできるため、非常に柔軟です。
アクセストークンリクエストのカスタマイズ
トークンリクエストの前処理をカスタマイズする必要がある場合は、WebClientReactiveRefreshTokenTokenResponseClient.setParametersConverter() にカスタム Converter<OAuth2RefreshTokenGrantRequest, MultiValueMap<String, String>> を提供できます。デフォルトの実装では、リクエストの作成に使用される標準 OAuth 2.0 アクセストークンリクエスト [IETF] (英語) の grant_type パラメーターのみを含む MultiValueMap<String, String> が作成されます。リフレッシュトークンの付与に必要なその他のパラメーターは、WebClientReactiveRefreshTokenTokenResponseClient によってリクエストの本文に直接追加されます。ただし、カスタム Converter を提供すると、標準のトークンリクエストを継承し、カスタムパラメーターを追加できます。
追加のパラメーターのみを追加する場合は、代わりに、集約 Converter を構成するカスタム Converter<OAuth2RefreshTokenGrantRequest, MultiValueMap<String, String>> を WebClientReactiveRefreshTokenTokenResponseClient.addParametersConverter() に提供できます。 |
カスタム Converter は、目的の OAuth 2.0 プロバイダーによって理解される OAuth 2.0 アクセストークンリクエストの有効なパラメーターを返す必要があります。 |
アクセストークンレスポンスのカスタマイズ
一方、トークンレスポンスのポストハンドリングをカスタマイズする必要がある場合は、OAuth 2.0 アクセストークンレスポンスを OAuth2AccessTokenResponse に変換するために使用されるカスタム構成の BodyExtractor<Mono<OAuth2AccessTokenResponse>, ReactiveHttpInputMessage> を WebClientReactiveRefreshTokenTokenResponseClient.setBodyExtractor() に提供する必要があります。OAuth2BodyExtractors.oauth2AccessTokenResponse() によって提供されるデフォルトの実装は、レスポンスを解析し、それに応じてエラーを処理します。
WebClient のカスタマイズ
または、要件がより高度な場合は、WebClientReactiveRefreshTokenTokenResponseClient.setWebClient() にカスタム構成された WebClient を提供するだけで、リクエスト / レスポンスを完全に制御できます。
WebClientReactiveRefreshTokenTokenResponseClient をカスタマイズする場合でも、ReactiveOAuth2AccessTokenResponseClient の独自の実装を提供する場合でも、次の例に示すように構成する必要があります。
Java
Kotlin
// Customize
ReactiveOAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> refreshTokenTokenResponseClient = ...
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.authorizationCode()
.refreshToken(configurer -> configurer.accessTokenResponseClient(refreshTokenTokenResponseClient))
.build();
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);// Customize
val refreshTokenTokenResponseClient: ReactiveOAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> = ...
val authorizedClientProvider: ReactiveOAuth2AuthorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.authorizationCode()
.refreshToken { it.accessTokenResponseClient(refreshTokenTokenResponseClient) }
.build()
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)ReactiveOAuth2AuthorizedClientProviderBuilder.builder().refreshToken() は RefreshTokenReactiveOAuth2AuthorizedClientProvider を構成します。これは、リフレッシュトークン付与用の ReactiveOAuth2AuthorizedClientProvider の実装です。 |
OAuth2RefreshToken は、authorization_code および password 付与型のアクセストークンレスポンスでオプションで返されます。OAuth2AuthorizedClient.getRefreshToken() が使用可能であり、OAuth2AuthorizedClient.getAccessToken() の有効期限が切れている場合、RefreshTokenReactiveOAuth2AuthorizedClientProvider によって自動的にリフレッシュされます。
クライアント資格情報
| クライアント資格情報 [IETF] (英語) 付与の詳細については、OAuth 2.0 認可フレームワークを参照してください。 |
アクセストークンのリクエスト
| クライアント資格情報の付与については、アクセストークンリクエスト / レスポンス [IETF] (英語) プロトコルフローを参照してください。 |
クライアント資格情報付与の ReactiveOAuth2AccessTokenResponseClient のデフォルト実装は WebClientReactiveClientCredentialsTokenResponseClient です。これは、認可サーバーのトークンエンドポイントでアクセストークンをリクエストするときに WebClient を使用します。
WebClientReactiveClientCredentialsTokenResponseClient は、トークンリクエストの前処理やトークンレスポンスのリアクティブ処理をカスタマイズできるため、非常に柔軟です。
アクセストークンリクエストのカスタマイズ
トークンリクエストの前処理をカスタマイズする必要がある場合は、WebClientReactiveClientCredentialsTokenResponseClient.setParametersConverter() にカスタム Converter<OAuth2ClientCredentialsGrantRequest, MultiValueMap<String, String>> を提供できます。デフォルトの実装では、リクエストの作成に使用される標準 OAuth 2.0 アクセストークンリクエスト [IETF] (英語) の grant_type パラメーターのみを含む MultiValueMap<String, String> が作成されます。クライアント資格情報の付与に必要なその他のパラメーターは、WebClientReactiveClientCredentialsTokenResponseClient によってリクエストの本文に直接追加されます。ただし、カスタム Converter を提供すると、標準のトークンリクエストを継承し、カスタムパラメーターを追加できます。
追加のパラメーターのみを追加する場合は、代わりに、集約 Converter を構成するカスタム Converter<OAuth2ClientCredentialsGrantRequest, MultiValueMap<String, String>> を WebClientReactiveClientCredentialsTokenResponseClient.addParametersConverter() に提供できます。 |
カスタム Converter は、目的の OAuth 2.0 プロバイダーによって理解される OAuth 2.0 アクセストークンリクエストの有効なパラメーターを返す必要があります。 |
アクセストークンレスポンスのカスタマイズ
一方、トークンレスポンスのポストハンドリングをカスタマイズする必要がある場合は、OAuth 2.0 アクセストークンレスポンスを OAuth2AccessTokenResponse に変換するために使用されるカスタム構成の BodyExtractor<Mono<OAuth2AccessTokenResponse>, ReactiveHttpInputMessage> を WebClientReactiveClientCredentialsTokenResponseClient.setBodyExtractor() に提供する必要があります。OAuth2BodyExtractors.oauth2AccessTokenResponse() によって提供されるデフォルトの実装は、レスポンスを解析し、それに応じてエラーを処理します。
WebClient のカスタマイズ
または、要件がより高度な場合は、WebClientReactiveClientCredentialsTokenResponseClient.setWebClient() にカスタム構成された WebClient を提供するだけで、リクエスト / レスポンスを完全に制御できます。
WebClientReactiveClientCredentialsTokenResponseClient をカスタマイズする場合でも、ReactiveOAuth2AccessTokenResponseClient の独自の実装を提供する場合でも、次の例に示すように構成する必要があります。
Java
Kotlin
// Customize
ReactiveOAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> clientCredentialsTokenResponseClient = ...
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.clientCredentials(configurer -> configurer.accessTokenResponseClient(clientCredentialsTokenResponseClient))
.build();
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);// Customize
val clientCredentialsTokenResponseClient: ReactiveOAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> = ...
val authorizedClientProvider: ReactiveOAuth2AuthorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.clientCredentials { it.accessTokenResponseClient(clientCredentialsTokenResponseClient) }
.build()
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)ReactiveOAuth2AuthorizedClientProviderBuilder.builder().clientCredentials() は、ClientCredentialsReactiveOAuth2AuthorizedClientProvider を構成します。これは、クライアント資格情報付与用の ReactiveOAuth2AuthorizedClientProvider の実装です。 |
アクセストークンの使用
OAuth 2.0 クライアント登録用の次の Spring Boot 2.x プロパティがあるとします。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
authorization-grant-type: client_credentials
scope: read, write
provider:
okta:
token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token …そして ReactiveOAuth2AuthorizedClientManager @Bean:
Java
Kotlin
@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
ReactiveClientRegistrationRepository clientRegistrationRepository,
ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.clientCredentials()
.build();
DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
new DefaultReactiveOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository);
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
return authorizedClientManager;
}@Bean
fun authorizedClientManager(
clientRegistrationRepository: ReactiveClientRegistrationRepository,
authorizedClientRepository: ServerOAuth2AuthorizedClientRepository): ReactiveOAuth2AuthorizedClientManager {
val authorizedClientProvider: ReactiveOAuth2AuthorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.clientCredentials()
.build()
val authorizedClientManager = DefaultReactiveOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository)
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)
return authorizedClientManager
}OAuth2AccessToken は次のようにして入手できます。
Java
Kotlin
@Controller
public class OAuth2ClientController {
@Autowired
private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;
@GetMapping("/")
public Mono<String> index(Authentication authentication, ServerWebExchange exchange) {
OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
.principal(authentication)
.attribute(ServerWebExchange.class.getName(), exchange)
.build();
return this.authorizedClientManager.authorize(authorizeRequest)
.map(OAuth2AuthorizedClient::getAccessToken)
...
.thenReturn("index");
}
}class OAuth2ClientController {
@Autowired
private lateinit var authorizedClientManager: ReactiveOAuth2AuthorizedClientManager
@GetMapping("/")
fun index(authentication: Authentication, exchange: ServerWebExchange): Mono<String> {
val authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
.principal(authentication)
.attribute(ServerWebExchange::class.java.name, exchange)
.build()
return authorizedClientManager.authorize(authorizeRequest)
.map { it.accessToken }
...
.thenReturn("index")
}
}ServerWebExchange はオプションの属性です。指定しない場合は、キー ServerWebExchange.class を介して Reactor のコンテキスト (英語) から取得されます。 |
リソース所有者のパスワード資格証明
| リソース所有者のパスワード資格証明 [IETF] (英語) 付与の詳細については、OAuth 2.0 認可フレームワークを参照してください。 |
アクセストークンのリクエスト
| リソース所有者パスワード資格情報の付与については、アクセストークンリクエスト / レスポンス [IETF] (英語) プロトコルフローを参照してください。 |
リソース所有者パスワード資格情報付与の ReactiveOAuth2AccessTokenResponseClient のデフォルト実装は WebClientReactivePasswordTokenResponseClient です。これは、認可サーバーのトークンエンドポイントでアクセストークンをリクエストするときに WebClient を使用します。
WebClientReactivePasswordTokenResponseClient は、トークンリクエストの前処理やトークンレスポンスのリアクティブ処理をカスタマイズできるため、非常に柔軟です。
アクセストークンリクエストのカスタマイズ
トークンリクエストの前処理をカスタマイズする必要がある場合は、WebClientReactivePasswordTokenResponseClient.setParametersConverter() にカスタム Converter<OAuth2PasswordGrantRequest, MultiValueMap<String, String>> を提供できます。デフォルトの実装では、リクエストの作成に使用される標準 OAuth 2.0 アクセストークンリクエスト [IETF] (英語) の grant_type パラメーターのみを含む MultiValueMap<String, String> が作成されます。リソース所有者のパスワード資格付与に必要なその他のパラメーターは、WebClientReactivePasswordTokenResponseClient によってリクエストの本文に直接追加されます。ただし、カスタム Converter を提供すると、標準のトークンリクエストを継承し、カスタムパラメーターを追加できます。
追加のパラメーターのみを追加する場合は、代わりに、集約 Converter を構成するカスタム Converter<OAuth2PasswordGrantRequest, MultiValueMap<String, String>> を WebClientReactivePasswordTokenResponseClient.addParametersConverter() に提供できます。 |
カスタム Converter は、目的の OAuth 2.0 プロバイダーによって理解される OAuth 2.0 アクセストークンリクエストの有効なパラメーターを返す必要があります。 |
アクセストークンレスポンスのカスタマイズ
一方、トークンレスポンスのポストハンドリングをカスタマイズする必要がある場合は、OAuth 2.0 アクセストークンレスポンスを OAuth2AccessTokenResponse に変換するために使用されるカスタム構成の BodyExtractor<Mono<OAuth2AccessTokenResponse>, ReactiveHttpInputMessage> を WebClientReactivePasswordTokenResponseClient.setBodyExtractor() に提供する必要があります。OAuth2BodyExtractors.oauth2AccessTokenResponse() によって提供されるデフォルトの実装は、レスポンスを解析し、それに応じてエラーを処理します。
WebClient のカスタマイズ
または、要件がより高度な場合は、WebClientReactivePasswordTokenResponseClient.setWebClient() にカスタム構成された WebClient を提供するだけで、リクエスト / レスポンスを完全に制御できます。
WebClientReactivePasswordTokenResponseClient をカスタマイズする場合でも、ReactiveOAuth2AccessTokenResponseClient の独自の実装を提供する場合でも、次の例に示すように構成する必要があります。
Java
Kotlin
// Customize
ReactiveOAuth2AccessTokenResponseClient<OAuth2PasswordGrantRequest> passwordTokenResponseClient = ...
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.password(configurer -> configurer.accessTokenResponseClient(passwordTokenResponseClient))
.refreshToken()
.build();
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);val passwordTokenResponseClient: ReactiveOAuth2AccessTokenResponseClient<OAuth2PasswordGrantRequest> = ...
val authorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.password { it.accessTokenResponseClient(passwordTokenResponseClient) }
.refreshToken()
.build()
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)ReactiveOAuth2AuthorizedClientProviderBuilder.builder().password() は、PasswordReactiveOAuth2AuthorizedClientProvider を構成します。これは、リソース所有者のパスワード資格付与用の ReactiveOAuth2AuthorizedClientProvider の実装です。 |
アクセストークンの使用
OAuth 2.0 クライアント登録用の次の Spring Boot 2.x プロパティがあるとします。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
authorization-grant-type: password
scope: read, write
provider:
okta:
token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token …そして ReactiveOAuth2AuthorizedClientManager @Bean:
Java
Kotlin
@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
ReactiveClientRegistrationRepository clientRegistrationRepository,
ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.password()
.refreshToken()
.build();
DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
new DefaultReactiveOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository);
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
// Assuming the `username` and `password` are supplied as `ServerHttpRequest` parameters,
// map the `ServerHttpRequest` parameters to `OAuth2AuthorizationContext.getAttributes()`
authorizedClientManager.setContextAttributesMapper(contextAttributesMapper());
return authorizedClientManager;
}
private Function<OAuth2AuthorizeRequest, Mono<Map<String, Object>>> contextAttributesMapper() {
return authorizeRequest -> {
Map<String, Object> contextAttributes = Collections.emptyMap();
ServerWebExchange exchange = authorizeRequest.getAttribute(ServerWebExchange.class.getName());
ServerHttpRequest request = exchange.getRequest();
String username = request.getQueryParams().getFirst(OAuth2ParameterNames.USERNAME);
String password = request.getQueryParams().getFirst(OAuth2ParameterNames.PASSWORD);
if (StringUtils.hasText(username) && StringUtils.hasText(password)) {
contextAttributes = new HashMap<>();
// `PasswordReactiveOAuth2AuthorizedClientProvider` requires both attributes
contextAttributes.put(OAuth2AuthorizationContext.USERNAME_ATTRIBUTE_NAME, username);
contextAttributes.put(OAuth2AuthorizationContext.PASSWORD_ATTRIBUTE_NAME, password);
}
return Mono.just(contextAttributes);
};
}@Bean
fun authorizedClientManager(
clientRegistrationRepository: ReactiveClientRegistrationRepository,
authorizedClientRepository: ServerOAuth2AuthorizedClientRepository): ReactiveOAuth2AuthorizedClientManager {
val authorizedClientProvider: ReactiveOAuth2AuthorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.password()
.refreshToken()
.build()
val authorizedClientManager = DefaultReactiveOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository)
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)
// Assuming the `username` and `password` are supplied as `ServerHttpRequest` parameters,
// map the `ServerHttpRequest` parameters to `OAuth2AuthorizationContext.getAttributes()`
authorizedClientManager.setContextAttributesMapper(contextAttributesMapper())
return authorizedClientManager
}
private fun contextAttributesMapper(): Function<OAuth2AuthorizeRequest, Mono<MutableMap<String, Any>>> {
return Function { authorizeRequest ->
var contextAttributes: MutableMap<String, Any> = mutableMapOf()
val exchange: ServerWebExchange = authorizeRequest.getAttribute(ServerWebExchange::class.java.name)!!
val request: ServerHttpRequest = exchange.request
val username: String? = request.queryParams.getFirst(OAuth2ParameterNames.USERNAME)
val password: String? = request.queryParams.getFirst(OAuth2ParameterNames.PASSWORD)
if (StringUtils.hasText(username) && StringUtils.hasText(password)) {
contextAttributes = hashMapOf()
// `PasswordReactiveOAuth2AuthorizedClientProvider` requires both attributes
contextAttributes[OAuth2AuthorizationContext.USERNAME_ATTRIBUTE_NAME] = username!!
contextAttributes[OAuth2AuthorizationContext.PASSWORD_ATTRIBUTE_NAME] = password!!
}
Mono.just(contextAttributes)
}
}OAuth2AccessToken は次のようにして入手できます。
Java
Kotlin
@Controller
public class OAuth2ClientController {
@Autowired
private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;
@GetMapping("/")
public Mono<String> index(Authentication authentication, ServerWebExchange exchange) {
OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
.principal(authentication)
.attribute(ServerWebExchange.class.getName(), exchange)
.build();
return this.authorizedClientManager.authorize(authorizeRequest)
.map(OAuth2AuthorizedClient::getAccessToken)
...
.thenReturn("index");
}
}@Controller
class OAuth2ClientController {
@Autowired
private lateinit var authorizedClientManager: ReactiveOAuth2AuthorizedClientManager
@GetMapping("/")
fun index(authentication: Authentication, exchange: ServerWebExchange): Mono<String> {
val authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
.principal(authentication)
.attribute(ServerWebExchange::class.java.name, exchange)
.build()
return authorizedClientManager.authorize(authorizeRequest)
.map { it.accessToken }
...
.thenReturn("index")
}
}ServerWebExchange はオプションの属性です。指定しない場合は、キー ServerWebExchange.class を介して Reactor のコンテキスト (英語) から取得されます。 |
JWT ベアラー
| JWT ベアラー [IETF] (英語) 付与の詳細については、OAuth 2.0 クライアント認証および認可付与の JSON Web トークン(JWT)プロファイルを参照してください。 |
アクセストークンのリクエスト
| JWT Bearer Grant については、アクセストークンリクエスト / レスポンス [IETF] (英語) プロトコルフローを参照してください。 |
JWT ベアラー付与の ReactiveOAuth2AccessTokenResponseClient のデフォルトの実装は WebClientReactiveJwtBearerTokenResponseClient です。これは、認可サーバーのトークンエンドポイントでアクセストークンをリクエストするときに WebClient を使用します。
WebClientReactiveJwtBearerTokenResponseClient は、トークンリクエストの前処理やトークンレスポンスのリアクティブ処理をカスタマイズできるため、非常に柔軟です。
アクセストークンリクエストのカスタマイズ
トークンリクエストの前処理をカスタマイズする必要がある場合は、WebClientReactiveJwtBearerTokenResponseClient.setParametersConverter() にカスタム Converter<JwtBearerGrantRequest, MultiValueMap<String, String>> を提供できます。デフォルトの実装では、リクエストの作成に使用される標準 OAuth 2.0 アクセストークンリクエスト [IETF] (英語) の grant_type パラメーターのみを含む MultiValueMap<String, String> が作成されます。JWT Bearer Grant に必要なその他のパラメーターは、WebClientReactiveJwtBearerTokenResponseClient によってリクエストの本文に直接追加されます。ただし、カスタム Converter を提供すると、標準のトークンリクエストを継承し、カスタムパラメーターを追加できます。
追加のパラメーターのみを追加する場合は、代わりに、集約 Converter を構成するカスタム Converter<JwtBearerGrantRequest, MultiValueMap<String, String>> を WebClientReactiveJwtBearerTokenResponseClient.addParametersConverter() に提供できます。 |
カスタム Converter は、目的の OAuth 2.0 プロバイダーによって理解される OAuth 2.0 アクセストークンリクエストの有効なパラメーターを返す必要があります。 |
アクセストークンレスポンスのカスタマイズ
一方、トークンレスポンスのポストハンドリングをカスタマイズする必要がある場合は、OAuth 2.0 アクセストークンレスポンスを OAuth2AccessTokenResponse に変換するために使用されるカスタム構成の BodyExtractor<Mono<OAuth2AccessTokenResponse>, ReactiveHttpInputMessage> を WebClientReactiveJwtBearerTokenResponseClient.setBodyExtractor() に提供する必要があります。OAuth2BodyExtractors.oauth2AccessTokenResponse() によって提供されるデフォルトの実装は、レスポンスを解析し、それに応じてエラーを処理します。
WebClient のカスタマイズ
または、要件がより高度な場合は、WebClientReactiveJwtBearerTokenResponseClient.setWebClient() にカスタム構成された WebClient を提供するだけで、リクエスト / レスポンスを完全に制御できます。
WebClientReactiveJwtBearerTokenResponseClient をカスタマイズする場合でも、ReactiveOAuth2AccessTokenResponseClient の独自の実装を提供する場合でも、次の例に示すように構成する必要があります。
Java
Kotlin
// Customize
ReactiveOAuth2AccessTokenResponseClient<JwtBearerGrantRequest> jwtBearerTokenResponseClient = ...
JwtBearerReactiveOAuth2AuthorizedClientProvider jwtBearerAuthorizedClientProvider = new JwtBearerReactiveOAuth2AuthorizedClientProvider();
jwtBearerAuthorizedClientProvider.setAccessTokenResponseClient(jwtBearerTokenResponseClient);
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.provider(jwtBearerAuthorizedClientProvider)
.build();
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);// Customize
val jwtBearerTokenResponseClient: ReactiveOAuth2AccessTokenResponseClient<JwtBearerGrantRequest> = ...
val jwtBearerAuthorizedClientProvider = JwtBearerReactiveOAuth2AuthorizedClientProvider()
jwtBearerAuthorizedClientProvider.setAccessTokenResponseClient(jwtBearerTokenResponseClient)
val authorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.provider(jwtBearerAuthorizedClientProvider)
.build()
...
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)アクセストークンの使用
OAuth 2.0 クライアント登録用の次の Spring Boot 2.x プロパティがあるとします。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
authorization-grant-type: urn:ietf:params:oauth:grant-type:jwt-bearer
scope: read
provider:
okta:
token-uri: https://dev-1234.oktapreview.com/oauth2/v1/token …そして OAuth2AuthorizedClientManager @Bean:
Java
Kotlin
@Bean
public ReactiveOAuth2AuthorizedClientManager authorizedClientManager(
ReactiveClientRegistrationRepository clientRegistrationRepository,
ServerOAuth2AuthorizedClientRepository authorizedClientRepository) {
JwtBearerReactiveOAuth2AuthorizedClientProvider jwtBearerAuthorizedClientProvider =
new JwtBearerReactiveOAuth2AuthorizedClientProvider();
ReactiveOAuth2AuthorizedClientProvider authorizedClientProvider =
ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.provider(jwtBearerAuthorizedClientProvider)
.build();
DefaultReactiveOAuth2AuthorizedClientManager authorizedClientManager =
new DefaultReactiveOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository);
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
return authorizedClientManager;
}@Bean
fun authorizedClientManager(
clientRegistrationRepository: ReactiveClientRegistrationRepository,
authorizedClientRepository: ServerOAuth2AuthorizedClientRepository): ReactiveOAuth2AuthorizedClientManager {
val jwtBearerAuthorizedClientProvider = JwtBearerReactiveOAuth2AuthorizedClientProvider()
val authorizedClientProvider = ReactiveOAuth2AuthorizedClientProviderBuilder.builder()
.provider(jwtBearerAuthorizedClientProvider)
.build()
val authorizedClientManager = DefaultReactiveOAuth2AuthorizedClientManager(
clientRegistrationRepository, authorizedClientRepository)
authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider)
return authorizedClientManager
}OAuth2AccessToken は次のようにして入手できます。
Java
Kotlin
@RestController
public class OAuth2ResourceServerController {
@Autowired
private ReactiveOAuth2AuthorizedClientManager authorizedClientManager;
@GetMapping("/resource")
public Mono<String> resource(JwtAuthenticationToken jwtAuthentication, ServerWebExchange exchange) {
OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
.principal(jwtAuthentication)
.build();
return this.authorizedClientManager.authorize(authorizeRequest)
.map(OAuth2AuthorizedClient::getAccessToken)
...
}
}class OAuth2ResourceServerController {
@Autowired
private lateinit var authorizedClientManager: ReactiveOAuth2AuthorizedClientManager
@GetMapping("/resource")
fun resource(jwtAuthentication: JwtAuthenticationToken, exchange: ServerWebExchange): Mono<String> {
val authorizeRequest = OAuth2AuthorizeRequest.withClientRegistrationId("okta")
.principal(jwtAuthentication)
.build()
return authorizedClientManager.authorize(authorizeRequest)
.map { it.accessToken }
...
}
}JwtBearerReactiveOAuth2AuthorizedClientProvider は、デフォルトで OAuth2AuthorizationContext.getPrincipal().getPrincipal() を介して Jwt アサーションを解決するため、前の例では JwtAuthenticationToken を使用します。 |
別のソースから Jwt アサーションを解決する必要がある場合は、JwtBearerReactiveOAuth2AuthorizedClientProvider.setJwtAssertionResolver() にカスタム Function<OAuth2AuthorizationContext, Mono<Jwt>> を提供できます。 |
