高度な構成
HttpSecurity.oauth2Login() は、OAuth 2.0 ログインをカスタマイズするための多くの構成オプションを提供します。主な構成オプションは、対応するプロトコルエンドポイントにグループ化されます。
例: oauth2Login().authorizationEndpoint() では認可エンドポイントを構成できますが、oauth2Login().tokenEndpoint() ではトークンエンドポイントを構成できます。
次のコードは例を示しています。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.authorizationEndpoint(authorization -> authorization
...
)
.redirectionEndpoint(redirection -> redirection
...
)
.tokenEndpoint(token -> token
...
)
.userInfoEndpoint(userInfo -> userInfo
...
)
);
return http.build();
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
authorizationEndpoint {
...
}
redirectionEndpoint {
...
}
tokenEndpoint {
...
}
userInfoEndpoint {
...
}
}
}
return http.build()
}
}oauth2Login() DSL の主なゴールは、仕様で定義されているように、命名に厳密に整合することでした。
OAuth 2.0 認可フレームワークは、プロトコルエンドポイント [IETF] (英語) を次のように定義します。
認可プロセスでは、2 つの認可サーバーエンドポイント(HTTP リソース)を使用します。
認可エンドポイント: クライアントがユーザーエージェントリダイレクトを介してリソース所有者から認可を取得するために使用します。
トークンエンドポイント: 通常はクライアント認証で、アクセストークンの認可付与を交換するためにクライアントによって使用されます。
認可プロセスでは、次の 1 つのクライアントエンドポイントも使用されます。
リダイレクトエンドポイント: 認可サーバーが、リソース所有者のユーザーエージェントを介して認可資格情報を含むレスポンスをクライアントに返すために使用します。
OpenID Connect Core 1.0 仕様では、UserInfo エンドポイント (英語) を次のように定義しています。
UserInfo エンドポイントは、認証されたエンドユーザーに関するクレームを返す OAuth 2.0 保護リソースです。エンドユーザーに関するリクエストされたクレームを取得するために、クライアントは OpenID Connect 認証を通じて取得されたアクセストークンを使用して UserInfo エンドポイントにリクエストを行います。通常、これらのクレームは、クレームの名前と値のペアのコレクションを含む JSON オブジェクトによって表されます。
次のコードは、oauth2Login() DSL で使用可能な完全な構成オプションを示しています。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.clientRegistrationRepository(this.clientRegistrationRepository())
.authorizedClientRepository(this.authorizedClientRepository())
.authorizedClientService(this.authorizedClientService())
.loginPage("/login")
.authorizationEndpoint(authorization -> authorization
.baseUri(this.authorizationRequestBaseUri())
.authorizationRequestRepository(this.authorizationRequestRepository())
.authorizationRequestResolver(this.authorizationRequestResolver())
)
.redirectionEndpoint(redirection -> redirection
.baseUri(this.authorizationResponseBaseUri())
)
.tokenEndpoint(token -> token
.accessTokenResponseClient(this.accessTokenResponseClient())
)
.userInfoEndpoint(userInfo -> userInfo
.userAuthoritiesMapper(this.userAuthoritiesMapper())
.userService(this.oauth2UserService())
.oidcUserService(this.oidcUserService())
)
);
return http.build();
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
clientRegistrationRepository = clientRegistrationRepository()
authorizedClientRepository = authorizedClientRepository()
authorizedClientService = authorizedClientService()
loginPage = "/login"
authorizationEndpoint {
baseUri = authorizationRequestBaseUri()
authorizationRequestRepository = authorizationRequestRepository()
authorizationRequestResolver = authorizationRequestResolver()
}
redirectionEndpoint {
baseUri = authorizationResponseBaseUri()
}
tokenEndpoint {
accessTokenResponseClient = accessTokenResponseClient()
}
userInfoEndpoint {
userAuthoritiesMapper = userAuthoritiesMapper()
userService = oauth2UserService()
oidcUserService = oidcUserService()
}
}
}
return http.build()
}
}oauth2Login() DSL に加えて、XML 構成もサポートされています。
次のコードは、セキュリティ名前空間で使用できる完全な構成オプションを示しています。
<http>
<oauth2-login client-registration-repository-ref="clientRegistrationRepository"
authorized-client-repository-ref="authorizedClientRepository"
authorized-client-service-ref="authorizedClientService"
authorization-request-repository-ref="authorizationRequestRepository"
authorization-request-resolver-ref="authorizationRequestResolver"
access-token-response-client-ref="accessTokenResponseClient"
user-authorities-mapper-ref="userAuthoritiesMapper"
user-service-ref="oauth2UserService"
oidc-user-service-ref="oidcUserService"
login-processing-url="/login/oauth2/code/*"
login-page="/login"
authentication-success-handler-ref="authenticationSuccessHandler"
authentication-failure-handler-ref="authenticationFailureHandler"
jwt-decoder-factory-ref="jwtDecoderFactory"/>
</http>以下のセクションでは、使用可能な各構成オプションについて詳しく説明します。
OAuth 2.0 ログインページ
デフォルトでは、OAuth 2.0 ログインページは DefaultLoginPageGeneratingFilter によって自動生成されます。デフォルトのログインページには、設定された各 OAuth クライアントとその ClientRegistration.clientName がリンクとして表示され、認可リクエスト(または OAuth 2.0 ログイン)を開始できます。
|
各 OAuth クライアントのリンクの宛先は、デフォルトで次のようになります。
OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI + "/{registrationId}"
次の行に例を示します。
<a href="/oauth2/authorization/google">Google</a> デフォルトのログインページをオーバーライドするには、oauth2Login().loginPage() および(オプションで) oauth2Login().authorizationEndpoint().baseUri() を構成します。
次のリストに例を示します。
Java
Kotlin
XML
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.loginPage("/login/oauth2")
...
.authorizationEndpoint(authorization -> authorization
.baseUri("/login/oauth2/authorization")
...
)
);
return http.build();
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
loginPage = "/login/oauth2"
authorizationEndpoint {
baseUri = "/login/oauth2/authorization"
}
}
}
return http.build()
}
}<http>
<oauth2-login login-page="/login/oauth2"
...
/>
</http> カスタムログインページを表示できる |
前述のように、 次の行に例を示します。 |
リダイレクトエンドポイント
リダイレクションエンドポイントは、認可サーバーが、リソース所有者のユーザーエージェントを介して認可レスポンス(認可資格情報を含む)をクライアントに返すために使用されます。
OAuth 2.0 Login は認証コード付与を活用します。認証情報は認証コードです。 |
デフォルトの Authorization Response baseUri (リダイレクトエンドポイント)は /login/oauth2/code/* であり、OAuth2LoginAuthenticationFilter.DEFAULT_FILTER_PROCESSES_URI で定義されています。
権限レスポンス baseUri をカスタマイズする場合は、次のように設定します。
Java
Kotlin
XML
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.redirectionEndpoint(redirection -> redirection
.baseUri("/login/oauth2/callback/*")
...
)
);
return http.build();
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
redirectionEndpoint {
baseUri = "/login/oauth2/callback/*"
}
}
}
return http.build()
}
}<http>
<oauth2-login login-processing-url="/login/oauth2/callback/*"
...
/>
</http> また、 次のリストに例を示します。
|
UserInfo エンドポイント
UserInfo エンドポイントには、次のサブセクションで説明するように、いくつかの構成オプションが含まれています。
ユーザー権限のマッピング
ユーザーが OAuth 2.0 プロバイダーで正常に認証されると、OAuth2User.getAuthorities() (または OidcUser.getAuthorities()) には、OAuth2UserRequest.getAccessToken().getScopes() から入力され、接頭辞 SCOPE_ が付けられた、許可された権限のリストが含まれます。これらの付与された権限は、認証の完了時に OAuth2AuthenticationToken に提供される GrantedAuthority インスタンスの新しいセットにマップできます。
OAuth2AuthenticationToken.getAuthorities() は、hasRole('USER') や hasRole('ADMIN') などでリクエストを認可するために使用されます。 |
ユーザー権限をマッピングするときに選択できるオプションがいくつかあります。
GrantedAuthoritiesMapper を使用する
GrantedAuthoritiesMapper には、型 OAuth2UserAuthority の特殊権限と権限ストリング OAUTH2_USER (または OidcUserAuthority と権限ストリング OIDC_USER) を含む、許可された権限のリストが与えられます。
GrantedAuthoritiesMapper の実装を提供し、次のように構成します。
Java
Kotlin
XML
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.userAuthoritiesMapper(this.userAuthoritiesMapper())
...
)
);
return http.build();
}
private GrantedAuthoritiesMapper userAuthoritiesMapper() {
return (authorities) -> {
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
authorities.forEach(authority -> {
if (OidcUserAuthority.class.isInstance(authority)) {
OidcUserAuthority oidcUserAuthority = (OidcUserAuthority)authority;
OidcIdToken idToken = oidcUserAuthority.getIdToken();
OidcUserInfo userInfo = oidcUserAuthority.getUserInfo();
// Map the claims found in idToken and/or userInfo
// to one or more GrantedAuthority's and add it to mappedAuthorities
} else if (OAuth2UserAuthority.class.isInstance(authority)) {
OAuth2UserAuthority oauth2UserAuthority = (OAuth2UserAuthority)authority;
Map<String, Object> userAttributes = oauth2UserAuthority.getAttributes();
// Map the attributes found in userAttributes
// to one or more GrantedAuthority's and add it to mappedAuthorities
}
});
return mappedAuthorities;
};
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
userAuthoritiesMapper = userAuthoritiesMapper()
}
}
}
return http.build()
}
private fun userAuthoritiesMapper(): GrantedAuthoritiesMapper = GrantedAuthoritiesMapper { authorities: Collection<GrantedAuthority> ->
val mappedAuthorities = emptySet<GrantedAuthority>()
authorities.forEach { authority ->
if (authority is OidcUserAuthority) {
val idToken = authority.idToken
val userInfo = authority.userInfo
// Map the claims found in idToken and/or userInfo
// to one or more GrantedAuthority's and add it to mappedAuthorities
} else if (authority is OAuth2UserAuthority) {
val userAttributes = authority.attributes
// Map the attributes found in userAttributes
// to one or more GrantedAuthority's and add it to mappedAuthorities
}
}
mappedAuthorities
}
}<http>
<oauth2-login user-authorities-mapper-ref="userAuthoritiesMapper"
...
/>
</http> または、次のように GrantedAuthoritiesMapper@Bean を登録して、構成に自動的に適用することもできます。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(withDefaults());
return http.build();
}
@Bean
public GrantedAuthoritiesMapper userAuthoritiesMapper() {
...
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login { }
}
return http.build()
}
@Bean
fun userAuthoritiesMapper(): GrantedAuthoritiesMapper {
...
}
}OAuth2UserService を使用した委譲ベースの戦略
この戦略は、GrantedAuthoritiesMapper を使用する場合に比べて高度です。ただし、OAuth2UserRequest と OAuth2User (OAuth 2.0 UserService を使用する場合)または OidcUserRequest と OidcUser (OpenID Connect 1.0 UserService を使用する場合)にアクセスできるため、柔軟性も高くなります。
OAuth2UserRequest (および OidcUserRequest)は、関連付けられた OAuth2AccessToken へのアクセスを提供します。これは、委譲者がユーザーのカスタム権限をマップする前に、保護されたリソースから権限情報をフェッチする必要がある場合に非常に便利です。
次の例は、OpenID Connect 1.0 UserService を使用して、委譲ベースの戦略を実装および構成する方法を示しています。
Java
Kotlin
XML
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.oidcUserService(this.oidcUserService())
...
)
);
return http.build();
}
private OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {
final OidcUserService delegate = new OidcUserService();
return (userRequest) -> {
// Delegate to the default implementation for loading a user
OidcUser oidcUser = delegate.loadUser(userRequest);
OAuth2AccessToken accessToken = userRequest.getAccessToken();
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
// TODO
// 1) Fetch the authority information from the protected resource using accessToken
// 2) Map the authority information to one or more GrantedAuthority's and add it to mappedAuthorities
// 3) Create a copy of oidcUser but use the mappedAuthorities instead
ProviderDetails providerDetails = userRequest.getClientRegistration().getProviderDetails();
String userNameAttributeName = providerDetails.getUserInfoEndpoint().getUserNameAttributeName();
if (StringUtils.hasText(userNameAttributeName)) {
oidcUser = new DefaultOidcUser(mappedAuthorities, oidcUser.getIdToken(), oidcUser.getUserInfo(), userNameAttributeName);
} else {
oidcUser = new DefaultOidcUser(mappedAuthorities, oidcUser.getIdToken(), oidcUser.getUserInfo());
}
return oidcUser;
};
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
oidcUserService = oidcUserService()
}
}
}
return http.build()
}
@Bean
fun oidcUserService(): OAuth2UserService<OidcUserRequest, OidcUser> {
val delegate = OidcUserService()
return OAuth2UserService { userRequest ->
// Delegate to the default implementation for loading a user
val oidcUser = delegate.loadUser(userRequest)
val accessToken = userRequest.accessToken
val mappedAuthorities = HashSet<GrantedAuthority>()
// TODO
// 1) Fetch the authority information from the protected resource using accessToken
// 2) Map the authority information to one or more GrantedAuthority's and add it to mappedAuthorities
// 3) Create a copy of oidcUser but use the mappedAuthorities instead
val providerDetails = userRequest.getClientRegistration().getProviderDetails()
val userNameAttributeName = providerDetails.getUserInfoEndpoint().getUserNameAttributeName()
if (StringUtils.hasText(userNameAttributeName)) {
DefaultOidcUser(mappedAuthorities, oidcUser.idToken, oidcUser.userInfo, userNameAttributeName)
} else {
DefaultOidcUser(mappedAuthorities, oidcUser.idToken, oidcUser.userInfo)
}
}
}
}<http>
<oauth2-login oidc-user-service-ref="oidcUserService"
...
/>
</http>OAuth 2.0 UserService
DefaultOAuth2UserService は、標準の OAuth 2.0 プロバイダーをサポートする OAuth2UserService の実装です。
|
DefaultOAuth2UserService は、UserInfo エンドポイントでユーザー属性をリクエストするときに RestOperations インスタンスを使用します。
UserInfo リクエストの前処理をカスタマイズする必要がある場合は、DefaultOAuth2UserService.setRequestEntityConverter() にカスタム Converter<OAuth2UserRequest, RequestEntity<?>> を提供できます。デフォルトの実装 OAuth2UserRequestEntityConverter は、デフォルトで Authorization ヘッダーに OAuth2AccessToken を設定する UserInfo リクエストの RequestEntity 表現を構築します。
一方、UserInfo レスポンスのポストハンドリングをカスタマイズする必要がある場合は、DefaultOAuth2UserService.setRestOperations() にカスタム構成された RestOperations を提供する必要があります。デフォルトの RestOperations は次のように構成されています。
RestTemplate restTemplate = new RestTemplate();
restTemplate.setErrorHandler(new OAuth2ErrorResponseErrorHandler());OAuth2ErrorResponseErrorHandler は、OAuth 2.0 エラー(400 間違ったリクエスト)を処理できる ResponseErrorHandler です。OAuth 2.0 Error パラメーターを OAuth2Error に変換するために OAuth2ErrorHttpMessageConverter を使用します。
DefaultOAuth2UserService をカスタマイズする場合でも、OAuth2UserService の独自の実装を提供する場合でも、次のように構成する必要があります。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.userService(this.oauth2UserService())
...
)
);
return http.build();
}
private OAuth2UserService<OAuth2UserRequest, OAuth2User> oauth2UserService() {
...
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
userService = oauth2UserService()
// ...
}
}
}
return http.build()
}
private fun oauth2UserService(): OAuth2UserService<OAuth2UserRequest, OAuth2User> {
// ...
}
}OpenID Connect 1.0 UserService
OidcUserService は、OpenID Connect 1.0 プロバイダーをサポートする OAuth2UserService の実装です。
OidcUserService は、UserInfo エンドポイントでユーザー属性をリクエストするときに DefaultOAuth2UserService を活用します。
UserInfo リクエストの前処理または UserInfo レスポンスの後処理をカスタマイズする必要がある場合は、OidcUserService.setOauth2UserService() にカスタム構成された DefaultOAuth2UserService を提供する必要があります。
OidcUserService をカスタマイズする場合でも、OpenID Connect 1.0 プロバイダー用に OAuth2UserService の独自の実装を提供する場合でも、次のように構成する必要があります。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.oidcUserService(this.oidcUserService())
...
)
);
return http.build();
}
private OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {
...
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
oidcUserService = oidcUserService()
// ...
}
}
}
return http.build()
}
private fun oidcUserService(): OAuth2UserService<OidcUserRequest, OidcUser> {
// ...
}
}ID トークン署名検証
OpenID Connect 1.0 認証は ID トークン (英語) を導入します。ID トークン (英語) は、クライアントが使用する場合の認可サーバーによるエンドユーザーの認証に関するクレームを含むセキュリティトークンです。
ID トークンは JSON Web トークン [IETF] (英語) (JWT)として表され、JSON Web 署名 [IETF] (英語) (JWS)を使用して署名する必要があります。
OidcIdTokenDecoderFactory は、OidcIdToken 署名検証に使用される JwtDecoder を提供します。デフォルトのアルゴリズムは RS256 ですが、クライアント登録時に割り当てられると異なる場合があります。このような場合、特定のクライアントに割り当てられた予想される JWS アルゴリズムを返すようにリゾルバーを構成できます。
JWS アルゴリズムリゾルバーは Function であり、ClientRegistration を受け入れ、SignatureAlgorithm.RS256 や MacAlgorithm.HS256 などのクライアントに期待される JwsAlgorithm を返します。
次のコードは、すべての ClientRegistration インスタンスに対してデフォルトで MacAlgorithm.HS256 になるように OidcIdTokenDecoderFactory@Bean を構成する方法を示しています。
Java
Kotlin
@Bean
public JwtDecoderFactory<ClientRegistration> idTokenDecoderFactory() {
OidcIdTokenDecoderFactory idTokenDecoderFactory = new OidcIdTokenDecoderFactory();
idTokenDecoderFactory.setJwsAlgorithmResolver(clientRegistration -> MacAlgorithm.HS256);
return idTokenDecoderFactory;
}@Bean
fun idTokenDecoderFactory(): JwtDecoderFactory<ClientRegistration?> {
val idTokenDecoderFactory = OidcIdTokenDecoderFactory()
idTokenDecoderFactory.setJwsAlgorithmResolver { MacAlgorithm.HS256 }
return idTokenDecoderFactory
}MAC ベースのアルゴリズム( |
OpenID Connect 1.0 認証用に複数の |
その後、ログアウトの構成に進むことができます
