我成功配置了 spring-security-oauth2 以便外部应用程序可以通过我的应用程序进行身份验证。但是,基于外部应用程序和用户允许的内容,客户端应该只能访问我的 API 的一个子集。可用子集由 OAuth 范围确定。
在经典的 Spring 应用程序中,我可以使用 @PreAuthorize 来根据角色强制执行边界:
@Controller
public class MyController {
@PreAuthorize("hasRole('admin')")
@RequestMapping("...")
public String doStuff() {
// ...
}
}
在使用 OAuth 和 Scopes 而不是角色时,我该如何做同样的事情?
【问题讨论】:
标签: java spring spring-security-oauth2
Spring OAuth 附带 OAuth2MethodSecurityExpressionHandler,该类增加了使用 @PreAuthorize 表达式进行此类检查的能力。您需要做的就是注册这个类,例如如果你使用 Javaconfig,就像这样:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public static class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
return new OAuth2MethodSecurityExpressionHandler();
}
}
现在您可以简单地使用:
@PreAuthorize("#oauth2.hasScope('requiredScope')")
保护您的请求方法。要查看除了hasScope 之外还有哪些可用的方法,请查看OAuth2SecurityExpressionMethods 类。
缺点是OAuth2MethodSecurityExpressionHandler 扩展了DefaultMethodSecurityExpressionHandler,因此您不能将它与同样扩展该类的其他类结合起来。
【讨论】:
#oauth2.hasScope... 可以在不覆盖 createExpressionHandler() 的情况下工作