spring oauth 客户端（v6.4.2）：不重定向到 oauth 服务器

我们将发送请求的服务器称为F中间的应用程序G和最后的资源服务器RS。

由于RS配置为 OAuth2 资源服务器（在 Spring Security DSL 中），它期望使用它信任的授权服务器（或在多租户情况下它信任的授权服务器之一）颁发的令牌oauth2ResourceServer来授权请求​​。Bearer

访问令牌会颁发给 OAuth2 客户端，客户端可以是

• G
• F如果G配置为转发从F

有两种主要的 OAuth2 流程来获取访问令牌（都F可以G使用其中任意一种）：

• 授权码：该请求代表在授权服务器上进行身份验证的最终用户进行授权（可选使用带有 MFA、记住我 cookie、魔法链接或此授权服务器实现的任何内容的登录表单）
• 客户端凭证：请求代表客户端应用程序本身授权（不涉及用户 ID）。它用于机器对机器通信：RS信任 OAuth2 客户端（F或G），它知道如何处理资源，如果涉及最终用户，则进行预先验证

Spring Security 为实现上述各种选项提供了完全的灵活性。但是需要考虑以下几点：

• 如果F在最终用户设备（React、Vue、Angular、移动应用程序等）上运行，现在建议不要将其配置为 OAuth2 客户端。使用该next-auth库的下一个应用程序无需担心，因为 OAuth2 客户端在应用程序的服务器端（Node 实例）上运行。它可以配置为机密客户端，并将令牌安全地保存在服务器上。
• G可能是 OAuth2 BFF：后端的中间件，用于在最终用户设备上运行的应用程序的基于会话的授权与下游资源服务器的基于令牌的授权之间架起桥梁。我在 Baeldung 上写了一个教程，介绍如何将 Spring Cloud Gateway 配置为 OAuth2 BFF：使用oauth2Login（授权码和刷新令牌流）和TokenRelay=过滤器（在路由请求时用会话中的访问令牌替换会话 cookie）
• G可能会使用不同于 OAuth2 的东西来验证用户身份（formLogin？）并使用具有客户端凭据的 OAuth2 客户端registration来授权其请求RS
• 如果F是 oauth2 客户端，G则可以使用访问令牌授权收到的请求。如果希望使用G收到的令牌授权其发送的请求，则无需在 上进行 OAuth2 客户端配置G：令牌取自安全上下文（这是我在微服务架构中经常用于资源服务器间通信的东西）
• 可以接受在应用程序属性中 G配置两个不同的条目：registration
  • authorization_code验证用户身份
  • client_credentials批准其请求RS

在G、RestClient和WebClient请求授权并不直接与会话状态相关，我们应该分别提供ClientHttpRequestInterceptor或ExchangeFilterFunction使用Bearer令牌设置授权标头。

目前，Spring Security 提供OAuth2ClientHttpRequestInterceptor和ServerOAuth2AuthorizedClientExchangeFilterFunction（在 servlet 中ServletOAuth2AuthorizedClientExchangeFilterFunction使用时）。它们使用通过客户端获取的令牌设置授权标头（可以是应用程序中的授权代码注册，也可以是任何类型的应用程序中的客户端凭据注册）。WebClientregistrationoauth2Login

当使用授权码注册时，此功能要求会话获得授权（用户必须已登录）。因此，委托部分处理任务的端点RS必须使用 进行保护isAuthenticated()，否则内部请求将使用 进行应答401。

仅当接收请求的端点配置了（或需要任何权限）时，302 Redirect to login才会在应用程序中发生这种情况。此应用程序内部的 REST 客户端发送的请求不受影响（上面提到的请求拦截器/过滤函数的情况，您为此而抓狂）。oauth2LoginisAuthenticated()

如果想要在安全上下文中转发访问令牌，我们需要自己编写一个ClientHttpRequestInterceptor（ExchangeFilterFunction没什么复杂的）。

我创建了一个 Spring Boot 启动器，仅使用应用程序属性即可自动配置RestClient具有WebClientOAuth2 授权（以及 HTTP 代理，如果需要）的 bean。您应该关注一下，无论您选择哪种方式，它都可能让您的生活更轻松。

在 GitHub 上与 OP 进行一些讨论后，我添加了一些代码来补充@ch4mp 的优秀答案。

OP 正在使用org.springframework.web.client.RestClient。直到最近，它还不支持 OAuth，因此需要使用授权标头。

    @GetMapping(value = "/messages-restclient-header")
    public String messagesUsingRestClientWithAuthHeader(
            Model model,
            @RegisteredOAuth2AuthorizedClient("messaging-client-oidc")
            OAuth2AuthorizedClient authorizedClient) {

        var bearerToken = "Bearer " + authorizedClient.getAccessToken().getTokenValue();

        String[] messages = restClient
                .get()
                .uri("/messages")
                .header(HttpHeaders.AUTHORIZATION, bearerToken)
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }

但是在 Spring Security 6.4 中 RestClient 支持 OAuth2，RestClient 可以像这样配置

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientManager;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientProviderBuilder;
import org.springframework.security.oauth2.client.registration.ClientRegistrationRepository;
import org.springframework.security.oauth2.client.web.DefaultOAuth2AuthorizedClientManager;
import org.springframework.security.oauth2.client.web.OAuth2AuthorizedClientRepository;
import org.springframework.security.oauth2.client.web.client.OAuth2ClientHttpRequestInterceptor;
import org.springframework.web.client.RestClient;

@Configuration
public class WebAndRestClientConfig {

    @Bean
    public RestClient restClient(
            RestClient.Builder builder,
            @Value("${messages.backend-base-uri}") String baseUri,
            OAuth2AuthorizedClientManager authorizedClientManager) {
        return builder
                .baseUrl(baseUri)
                .requestInterceptor(new OAuth2ClientHttpRequestInterceptor(authorizedClientManager))
                .build();
    }

    @Bean
    public OAuth2AuthorizedClientManager authorizedClientManager(
            ClientRegistrationRepository clientRegistrationRepository,
            OAuth2AuthorizedClientRepository authorizedClientRepository) {

        var authorizedClientProvider = OAuth2AuthorizedClientProviderBuilder.builder()
                .authorizationCode()
                .refreshToken()
                .clientCredentials()
                .build();

        var authorizedClientManager = new DefaultOAuth2AuthorizedClientManager(
                clientRegistrationRepository,
                authorizedClientRepository);

        authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
        return authorizedClientManager;
    }
}

并且控制器方法可以更改为

    @GetMapping(value = "/messages-restclient-attrs")
    public String messagesUsingRestClientWithAttributes(Model model) {

        String[] messages = restClient
                .get()
                .uri("/messages")
                .attributes(clientRegistrationId("messaging-client-oidc"))
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }

完整的控制器代码

import org.springframework.http.HttpHeaders;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClient;
import org.springframework.security.oauth2.client.annotation.RegisteredOAuth2AuthorizedClient;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.client.RestClient;

import static org.springframework.security.oauth2.client.web.client.RequestAttributeClientRegistrationIdResolver.clientRegistrationId;

@Controller
public class MessagesController {
    private final RestClient restClient;

    public MessagesController(RestClient restClient) {
        this.restClient = restClient;
    }

    // https://spring.io/blog/2024/10/28/restclient-support-for-oauth2-in-spring-security-6-4
    @GetMapping(value = "/messages-restclient-attrs")
    public String messagesUsingRestClientWithAttributes(Model model) {

        String[] messages = restClient
                .get()
                .uri("/messages")
                .attributes(clientRegistrationId("messaging-client-oidc"))
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }

    @GetMapping(value = "/messages-restclient-header")
    public String messagesUsingRestClientWithAuthHeader(
            Model model,
            @RegisteredOAuth2AuthorizedClient("messaging-client-oidc")
            OAuth2AuthorizedClient authorizedClient) {

        var bearerToken = "Bearer " + authorizedClient.getAccessToken().getTokenValue();

        String[] messages = restClient
                .get()
                .uri("/messages")
                .header(HttpHeaders.AUTHORIZATION, bearerToken)
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }
}