OAuth2承認サーバー/ユーザーエンドポイントからカスタムユーザー情報を取得する方法

Question

@EnableResourceServerアノテーションで構成されたリソースサーバーがあり、次のようにuser-info-uriパラメーターを介して承認サーバーを参照します。

security: oauth2: resource: user-info-uri: http://localhost:9001/user

認可サーバー/ユーザーエンドポイントは、org.springframework.security.core.userdetails.Userの拡張子を返します。 Eメール：

{ "password":null, "username":"myuser", ... "email":"me@company.com" }

リソースサーバーエンドポイントにアクセスするたびに、Springは承認サーバーの/userエンドポイントを呼び出すことにより、バックグラウンドでアクセストークンを検証し、実際に強化されたユーザー情報（たとえば、電子メール情報を含むWiresharkでそれを確認しました）。

したがって、問題は、認可サーバーの/userエンドポイントへの明示的な2回目の呼び出しなしで、このカスタムユーザー情報をどのように取得するかです。 Springは認証後にリソースサーバーのローカルに保存しますか、またはすぐに利用できるものがない場合にこの種のユーザー情報の保存を実装する最良の方法は何ですか？

Yannic Klem · Accepted Answer

解決策は、カスタムUserInfoTokenServicesの実装です

https://github.com/spring-projects/spring-boot/blob/master/spring-boot-autoconfigure/src/main/Java/org/springframework/boot/autoconfigure/security/oauth2/resource/ UserInfoTokenServices.Java

カスタム実装をBeanとして提供するだけで、デフォルト実装の代わりに使用されます。

このUserInfoTokenServices内で、必要に応じてprincipalを構築できます。

このUserInfoTokenServicesは、許可サーバーの/usersendpointの応答からUserDetailsを抽出するために使用されます。あなたが見ることができるように

private Object getPrincipal(Map<String, Object> map) { for (String key : PRINCIPAL_KEYS) { if (map.containsKey(key)) { return map.get(key); } } return "unknown"; }

PRINCIPAL_KEYSで指定されたプロパティのみがデフォルトで抽出されます。それがまさにあなたの問題です。ユーザー名だけでなく、プロパティの名前を抽出する必要があります。それで、より多くのキーを探してください。

private Object getPrincipal(Map<String, Object> map) { MyUserDetails myUserDetails = new myUserDetails(); for (String key : PRINCIPAL_KEYS) { if (map.containsKey(key)) { myUserDetails.setUserName(map.get(key)); } } if( map.containsKey("email") { myUserDetails.setEmail(map.get("email")); } //and so on.. return myUserDetails; }

配線：

@Autowired private ResourceServerProperties sso; @Bean public ResourceServerTokenServices myUserInfoTokenServices() { return new MyUserInfoTokenServices(sso.getUserInfoUri(), sso.getClientId()); }

!! Spring Boot 1.4でのアップデートが簡単になりました!!

Spring Boot 1.4.0では、 PrincipalExtractor が導入されました。このクラスは、カスタムプリンシパルを抽出するために実装する必要があります（ Spring Boot 1.4リリースノートを参照）。

user2802927 · Answer

すべてのデータはすでにプリンシパルオブジェクトにあるため、2番目の要求は必要ありません。必要なものだけを返します。 Facebookログインには以下の方法を使用します。

@RequestMapping("/sso/user") @SuppressWarnings("unchecked") public Map<String, String> user(Principal principal) { if (principal != null) { OAuth2Authentication oAuth2Authentication = (OAuth2Authentication) principal; Authentication authentication = oAuth2Authentication.getUserAuthentication(); Map<String, String> details = new LinkedHashMap<>(); details = (Map<String, String>) authentication.getDetails(); logger.info("details = " + details); // id, email, name, link etc. Map<String, String> map = new LinkedHashMap<>(); map.put("email", details.get("email")); return map; } return null; }

Paolo Mastinu · Answer

リソースサーバーで、次のようなCustomPrincipalクラスを作成できます。

public class CustomPrincipal { public CustomPrincipal(){}; private String email; //Getters and Setters public String getEmail() { return email; } public void setEmail(String email) { this.email = email; } }

次のようにCustomUserInfoTokenServicesを実装します。

public class CustomUserInfoTokenServices implements ResourceServerTokenServices { protected final Log logger = LogFactory.getLog(getClass()); private final String userInfoEndpointUrl; private final String clientId; private OAuth2RestOperations restTemplate; private String tokenType = DefaultOAuth2AccessToken.BEARER_TYPE; private AuthoritiesExtractor authoritiesExtractor = new FixedAuthoritiesExtractor(); private PrincipalExtractor principalExtractor = new CustomPrincipalExtractor(); public CustomUserInfoTokenServices(String userInfoEndpointUrl, String clientId) { this.userInfoEndpointUrl = userInfoEndpointUrl; this.clientId = clientId; } public void setTokenType(String tokenType) { this.tokenType = tokenType; } public void setRestTemplate(OAuth2RestOperations restTemplate) { this.restTemplate = restTemplate; } public void setAuthoritiesExtractor(AuthoritiesExtractor authoritiesExtractor) { Assert.notNull(authoritiesExtractor, "AuthoritiesExtractor must not be null"); this.authoritiesExtractor = authoritiesExtractor; } public void setPrincipalExtractor(PrincipalExtractor principalExtractor) { Assert.notNull(principalExtractor, "PrincipalExtractor must not be null"); this.principalExtractor = principalExtractor; } @Override public OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException { Map<String, Object> map = getMap(this.userInfoEndpointUrl, accessToken); if (map.containsKey("error")) { if (this.logger.isDebugEnabled()) { this.logger.debug("userinfo returned error: " + map.get("error")); } throw new InvalidTokenException(accessToken); } return extractAuthentication(map); } private OAuth2Authentication extractAuthentication(Map<String, Object> map) { Object principal = getPrincipal(map); List<GrantedAuthority> authorities = this.authoritiesExtractor .extractAuthorities(map); OAuth2Request request = new OAuth2Request(null, this.clientId, null, true, null, null, null, null, null); UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken( principal, "N/A", authorities); token.setDetails(map); return new OAuth2Authentication(request, token); } /** * Return the principal that should be used for the token. The default implementation * delegates to the {@link PrincipalExtractor}. * @param map the source map * @return the principal or {@literal "unknown"} */ protected Object getPrincipal(Map<String, Object> map) { CustomPrincipal customPrincipal = new CustomPrincipal(); if( map.containsKey("principal") ) { Map<String, Object> principalMap = (Map<String, Object>) map.get("principal"); customPrincipal.setEmail((String) principalMap.get("email")); } //and so on.. return customPrincipal; /* Object principal = this.principalExtractor.extractPrincipal(map); return (principal == null ? "unknown" : principal); */ } @Override public OAuth2AccessToken readAccessToken(String accessToken) { throw new UnsupportedOperationException("Not supported: read access token"); } @SuppressWarnings({ "unchecked" }) private Map<String, Object> getMap(String path, String accessToken) { if (this.logger.isDebugEnabled()) { this.logger.debug("Getting user info from: " + path); } try { OAuth2RestOperations restTemplate = this.restTemplate; if (restTemplate == null) { BaseOAuth2ProtectedResourceDetails resource = new BaseOAuth2ProtectedResourceDetails(); resource.setClientId(this.clientId); restTemplate = new OAuth2RestTemplate(resource); } OAuth2AccessToken existingToken = restTemplate.getOAuth2ClientContext() .getAccessToken(); if (existingToken == null || !accessToken.equals(existingToken.getValue())) { DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken( accessToken); token.setTokenType(this.tokenType); restTemplate.getOAuth2ClientContext().setAccessToken(token); } return restTemplate.getForEntity(path, Map.class).getBody(); } catch (Exception ex) { this.logger.warn("Could not fetch user details: " + ex.getClass() + ", " + ex.getMessage()); return Collections.<String, Object>singletonMap("error", "Could not fetch user details"); } } }

カスタムPrincipalExtractor：

public class CustomPrincipalExtractor implements PrincipalExtractor { private static final String[] PRINCIPAL_KEYS = new String[] { "user", "username", "principal", "userid", "user_id", "login", "id", "name", "uuid", "email"}; @Override public Object extractPrincipal(Map<String, Object> map) { for (String key : PRINCIPAL_KEYS) { if (map.containsKey(key)) { return map.get(key); } } return null; } @Bean public DaoAuthenticationProvider daoAuthenticationProvider() { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); daoAuthenticationProvider.setForcePrincipalAsString(false); return daoAuthenticationProvider; } }

@Configurationファイルで、このようなBeanを定義します

@Bean public ResourceServerTokenServices myUserInfoTokenServices() { return new CustomUserInfoTokenServices(sso.getUserInfoUri(), sso.getClientId()); }

そして、リソースサーバー設定で：

@Configuration public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(ResourceServerSecurityConfigurer config) { config.tokenServices(myUserInfoTokenServices()); } //etc....

すべてが正しく設定されていれば、コントローラーで次のようなことができます。

String userEmail = ((CustomPrincipal) SecurityContextHolder.getContext().getAuthentication().getPrincipal()).getEmail();

お役に立てれば。

vladsfl · Answer

JWTトークンを使用できます。すべてのユーザー情報が保存されているデータストアは必要ありません。代わりに、トークン自体に追加情報をエンコードできます。トークンがデコードされると、アプリはプリンシパルオブジェクトを使用してこのすべての情報にアクセスできます

Jose Martinez · Answer

SecurityContextHolderのgetContextメソッドから取得します。これは静的であるため、どこからでも取得できます。

// this is userAuthentication's principal Map<?, ?> getUserAuthenticationFromSecurityContextHolder() { Map<?, ?> userAuthentication = new HashMap<>(); try { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (!(authentication instanceof OAuth2Authentication)) { return userAuthentication; } OAuth2Authentication oauth2Authentication = (OAuth2Authentication) authentication; Authentication userauthentication = oauth2Authentication.getUserAuthentication(); if (userauthentication == null) { return userAuthentication; } Map<?, ?> details = (HashMap<?, ?>) userauthentication.getDetails(); //this effect in the new RW OAUTH2 userAuthentication Object principal = details.containsKey("principal") ? details.get("principal") : userAuthentication; //this should be effect in the common OAUTH2 userAuthentication if (!(principal instanceof Map)) { return userAuthentication; } userAuthentication = (Map<?, ?>) principal; } catch (Exception e) { logger.error("Got exception while trying to obtain user info from security context.", e); } return userAuthentication; }

Mark · Answer

Userdetailsエンドポイントによって返されるJSONオブジェクトのMap表現は、プリンシパルを表すAuthenticationオブジェクトから利用できます。

Map<String, Object> details = (Map<String,Object>)oauth2.getUserAuthentication().getDetails();

ロギング、ストレージ、またはキャッシュ用にキャプチャする場合は、ApplicationListenerを実装してキャプチャすることをお勧めします。例えば：

@Component public class AuthenticationSuccessListener implements ApplicationListener<AuthenticationSuccessEvent> { private Logger log = LoggerFactory.getLogger(this.getClass()); @Override public void onApplicationEvent(AuthenticationSuccessEvent event) { Authentication auth = event.getAuthentication(); log.debug("Authentication class: "+auth.getClass().toString()); if(auth instanceof OAuth2Authentication){ OAuth2Authentication oauth2 = (OAuth2Authentication)auth; @SuppressWarnings("unchecked") Map<String, Object> details = (Map<String, Object>)oauth2.getUserAuthentication().getDetails(); log.info("User {} logged in: {}", oauth2.getName(), details); log.info("User {} has authorities {} ", oauth2.getName(), oauth2.getAuthorities()); } else { log.warn("User authenticated by a non OAuth2 mechanism. Class is "+auth.getClass()); } } }

JSONまたは機関からのプリンシパルの抽出をカスタマイズしたい場合は、org.springframework.boot.autoconfigure.security.oauth2.resource.PrincipalExtractorおよび/ org.springframework.boot.autoconfigure.security.oauth2.resource.AuthoritiesExtractorそれぞれ。

次に、@Configuration実装をBeanとして公開するクラス：

@Bean public PrincipalExtractor merckPrincipalExtractor() { return new MyPrincipalExtractor(); } @Bean public AuthoritiesExtractor merckAuthoritiesExtractor() { return new MyAuthoritiesExtractor(); }