spring-security OidcId令牌解码器工厂如何同时支持签名算法. RS256和签名算法. RS512

piah890a 于 2022-11-11 发布在 Spring

关注(0)|答案(1)|浏览(181)

对于资源服务器，它就像下面这样简单

@Bean
fun jwtDecoder(): JwtDecoder {
    // makes a request to the JWK Set endpoint
    val jwsKeySelector: JWSKeySelector<SecurityContext> = JWSAlgorithmFamilyJWSKeySelector.fromJWKSetURL<SecurityContext>(this.jwkSetUrl)
    val jwtProcessor: DefaultJWTProcessor<SecurityContext> = DefaultJWTProcessor()
    jwtProcessor.jwsKeySelector = jwsKeySelector
    return NimbusJwtDecoder(jwtProcessor)
}

并且它从公钥端点获取算法。
但它不适用于OidcIdTokenDecoderFactory，因为https://github.com/spring-projects/spring-security/blob/6.0.0-M6/oauth2/oauth2-client/src/main/java/org/springframework/security/oauth2/client/oidc/authentication/OidcIdTokenDecoderFactory.java会创建一个新的JwtDecoder
有什么想法吗？或者我只能定制一个OidcIdTokenDecoderFactory？

spring-security

来源：https://stackoverflow.com/questions/73335722/how-oidcidtokendecoderfactory-can-support-both-signaturealgorithm-rs256-and-sign

1条答案

按热度按时间

9fkzdhlc1#

OidcIdTokenDecoderFactory确实是以自定义方式提供客户端所用算法的正确配置钩子。
例如，您可以指定下列项目：

@Bean
public JwtDecoderFactory<ClientRegistration> idTokenDecoderFactory() {
    OidcIdTokenDecoderFactory idTokenDecoderFactory = new OidcIdTokenDecoderFactory();
    idTokenDecoderFactory.setJwsAlgorithmResolver(clientRegistration -> {
        @SuppressWarnings("unchecked")
        List<String> supportedAlgorithms =
                (List<String>) clientRegistration.getProviderDetails()
                        .getConfigurationMetadata()
                        .get("id_token_signing_alg_values_supported");
        return SignatureAlgorithm.from(supportedAlgorithms.get(0));
    });
    return idTokenDecoderFactory;
}

请注意，这是一个假设第一个可用算法的简单示例。您可以提供任何所需的逻辑，但它必须返回单个算法。
在#11049中有一些关于这个问题的很好的背景。

赞(0）回复(0）举报 2022-11-11

我来回答

spring-security OidcId令牌解码器工厂如何同时支持签名算法. RS256和签名算法. RS512

1条答案

相关问题

热门标签

最新问答