最新の安定バージョンについては、Spring Security 6.3.1 を使用してください!

認可されたクライアント機能

このセクションでは、Spring Security が OAuth2 クライアント用に提供する追加機能について説明します。

認可されたクライアントの解決

@RegisteredOAuth2AuthorizedClient アノテーションは、メソッドパラメーターを型 OAuth2AuthorizedClient の引数値に解決する機能を提供します。これは、OAuth2AuthorizedClientManager または OAuth2AuthorizedClientService を使用して OAuth2AuthorizedClient にアクセスする場合に比べて便利な代替手段です。次の例は、@RegisteredOAuth2AuthorizedClient の使用方法を示しています。

  • Java

  • Kotlin

@Controller
public class OAuth2ClientController {

	@GetMapping("/")
	public String index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
		OAuth2AccessToken accessToken = authorizedClient.getAccessToken();

		...

		return "index";
	}
}
@Controller
class OAuth2ClientController {
    @GetMapping("/")
    fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): String {
        val accessToken = authorizedClient.accessToken

        ...

        return "index"
    }
}

@RegisteredOAuth2AuthorizedClient アノテーションは OAuth2AuthorizedClientArgumentResolver によって処理されます。OAuth2AuthorizedClientArgumentResolverOAuth2AuthorizedClientManager を直接使用するため、その機能を継承します。

サーブレット環境向けの WebClient 統合

OAuth 2.0 クライアントのサポートは、ExchangeFilterFunction を使用して WebClient と統合されます。

ServletOAuth2AuthorizedClientExchangeFilterFunction は、OAuth2AuthorizedClient を使用し、関連付けられた OAuth2AccessToken をベアラートークンとして含めることにより、保護されたリソースをリクエストするためのメカニズムを提供します。OAuth2AuthorizedClientManager を直接使用するため、次の機能を継承します。

  • クライアントがまだ承認されていない場合は、OAuth2AccessToken がリクエストされます。

    • authorization_code: 認可リクエストのリダイレクトをトリガーして、フローを開始します。

    • client_credentials: アクセストークンは、トークンエンドポイントから直接取得されます。

    • password: アクセストークンは、トークンエンドポイントから直接取得されます。

  • OAuth2AccessToken の有効期限が切れている場合、認可を実行するために OAuth2AuthorizedClientProvider が使用可能であれば、OAuth2AccessToken はリフレッシュ(またはリフレッシュ)されます。

次のコードは、OAuth 2.0 クライアントサポートを使用して WebClient を構成する方法の例を示しています。

  • Java

  • Kotlin

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
@Bean
fun webClient(authorizedClientManager: OAuth2AuthorizedClientManager?): WebClient {
    val oauth2Client = ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    return WebClient.builder()
            .apply(oauth2Client.oauth2Configuration())
            .build()
}

認定クライアントの提供

ServletOAuth2AuthorizedClientExchangeFilterFunction は、ClientRequest.attributes() (リクエスト属性)から OAuth2AuthorizedClient を解決することにより、(リクエストに)使用するクライアントを決定します。

次のコードは、OAuth2AuthorizedClient をリクエスト属性として設定する方法を示しています。

  • Java

  • Kotlin

@GetMapping("/")
public String index(@RegisteredOAuth2AuthorizedClient("okta") OAuth2AuthorizedClient authorizedClient) {
	String resourceUri = ...

	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(oauth2AuthorizedClient(authorizedClient))   (1)
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}
@GetMapping("/")
fun index(@RegisteredOAuth2AuthorizedClient("okta") authorizedClient: OAuth2AuthorizedClient): String {
    val resourceUri: String = ...
    val body: String = webClient
            .get()
            .uri(resourceUri)
            .attributes(oauth2AuthorizedClient(authorizedClient)) (1)
            .retrieve()
            .bodyToMono()
            .block()

    ...

    return "index"
}
1oauth2AuthorizedClient() は ServletOAuth2AuthorizedClientExchangeFilterFunction の static メソッドです。

次のコードは、ClientRegistration.getRegistrationId() をリクエスト属性として設定する方法を示しています。

  • Java

  • Kotlin

@GetMapping("/")
public String index() {
	String resourceUri = ...

	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(clientRegistrationId("okta"))   (1)
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}
@GetMapping("/")
fun index(): String {
    val resourceUri: String = ...

    val body: String = webClient
            .get()
            .uri(resourceUri)
            .attributes(clientRegistrationId("okta"))  (1)
            .retrieve()
            .bodyToMono()
            .block()

    ...

    return "index"
}
1clientRegistrationId() は ServletOAuth2AuthorizedClientExchangeFilterFunction の static メソッドです。

次のコードは、Authentication をリクエスト属性として設定する方法を示しています。

  • Java

  • Kotlin

@GetMapping("/")
public String index() {
	String resourceUri = ...

	Authentication anonymousAuthentication = new AnonymousAuthenticationToken(
			"anonymous", "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
	String body = webClient
			.get()
			.uri(resourceUri)
			.attributes(authentication(anonymousAuthentication))   (1)
			.retrieve()
			.bodyToMono(String.class)
			.block();

	...

	return "index";
}
@GetMapping("/")
fun index(): String {
    val resourceUri: String = ...

    val anonymousAuthentication: Authentication = AnonymousAuthenticationToken(
            "anonymous", "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"))
    val body: String = webClient
            .get()
            .uri(resourceUri)
            .attributes(authentication(anonymousAuthentication))  (1)
            .retrieve()
            .bodyToMono()
            .block()

    ...

    return "index"
}
1authentication() は ServletOAuth2AuthorizedClientExchangeFilterFunction の static メソッドです。
すべての HTTP リクエストは、提供されたプリンシパルにバインドされたアクセストークンを受け取るため、この機能には注意することをお勧めします。

承認済みクライアントのデフォルト設定

OAuth2AuthorizedClient も ClientRegistration.getRegistrationId() もリクエスト属性として提供されていない場合、ServletOAuth2AuthorizedClientExchangeFilterFunction は、その構成に応じて、使用するデフォルトのクライアントを判別できます。

setDefaultOAuth2AuthorizedClient(true) が構成されていて、ユーザーが HttpSecurity.oauth2Login() を使用して認証されている場合、現在の OAuth2AuthenticationToken に関連付けられている OAuth2AccessToken が使用されます。

次のコードは、特定の構成を示しています。

  • Java

  • Kotlin

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultOAuth2AuthorizedClient(true);
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
@Bean
fun webClient(authorizedClientManager: OAuth2AuthorizedClientManager?): WebClient {
    val oauth2Client = ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    oauth2Client.setDefaultOAuth2AuthorizedClient(true)
    return WebClient.builder()
            .apply(oauth2Client.oauth2Configuration())
            .build()
}

すべての HTTP リクエストはアクセストークンを受け取るため、この機能には注意してください。

あるいは、setDefaultClientRegistrationId("okta") が有効な ClientRegistration で構成されている場合、OAuth2AuthorizedClient に関連付けられた OAuth2AccessToken が使用されます。

次のコードは、特定の構成を示しています。

  • Java

  • Kotlin

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager) {
	ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =
			new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
	oauth2Client.setDefaultClientRegistrationId("okta");
	return WebClient.builder()
			.apply(oauth2Client.oauth2Configuration())
			.build();
}
@Bean
fun webClient(authorizedClientManager: OAuth2AuthorizedClientManager?): WebClient {
    val oauth2Client = ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager)
    oauth2Client.setDefaultClientRegistrationId("okta")
    return WebClient.builder()
            .apply(oauth2Client.oauth2Configuration())
            .build()
}

すべての HTTP リクエストはアクセストークンを受け取るため、この機能には注意してください。