作方法：在 JWT 访问Tokens中将颁发机构添加为自定义声明

本指南演示如何将资源所有者权限添加到 JWT 访问Tokens。术语“权限”可以表示不同的形式，例如资源所有者的角色、权限或组。spring-doc.cadn.net.cn

为了使资源所有者的权限可用于资源服务器，我们将自定义声明添加到访问Tokens。当客户端使用访问Tokens访问受保护的资源时，资源服务器将能够获取有关资源所有者的访问级别的信息，以及其他潜在用途和好处。spring-doc.cadn.net.cn

将自定义声明添加到 JWT 访问Tokens

可以使用OAuth2TokenCustomizer<JWTEncodingContext> @Bean. 请注意，这@Bean只能定义一次，因此必须注意确保自定义适当的Tokens类型 - 在本例中为访问Tokens。如果你有兴趣自定义IDTokens，请参阅用户信息映射器指南以获取更多信息。spring-doc.cadn.net.cn

下面是向访问Tokens添加自定义声明的示例，换句话说，授权服务器颁发的每个访问Tokens都将填充自定义声明。spring-doc.cadn.net.cn

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.server.authorization.OAuth2TokenType;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;

@Configuration
public class CustomClaimsConfiguration {
	@Bean
	public OAuth2TokenCustomizer<JwtEncodingContext> jwtTokenCustomizer() {
		return (context) -> {
			if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) {
				context.getClaims().claims((claims) -> {
					claims.put("claim-1", "value-1");
					claims.put("claim-2", "value-2");
				});
			}
		};
	}
}

将权限作为自定义声明添加到 JWT 访问Tokens

要将资源所有者的权限添加到 JWT 访问Tokens，我们可以参考上面的自定义声明映射方法，并使用Principal.spring-doc.cadn.net.cn

我们定义了一个具有一组权限的示例用户，以进行演示，并使用这些权限填充访问Tokens中的自定义声明。spring-doc.cadn.net.cn

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.server.authorization.OAuth2TokenType;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

import java.util.Collections;
import java.util.Set;
import java.util.stream.Collectors;

@Configuration
public class CustomClaimsWithAuthoritiesConfiguration {
	@Bean
	public UserDetailsService users() {
		UserDetails user = User.withDefaultPasswordEncoder()
				.username("user1") (1)
				.password("password")
				.roles("user", "admin") (2)
				.build();
		return new InMemoryUserDetailsManager(user);
	}

	@Bean
	public OAuth2TokenCustomizer<JwtEncodingContext> jwtTokenCustomizer() { (3)
		return (context) -> {
			if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) { (4)
				context.getClaims().claims((claims) -> { (5)
					Set<String> roles = AuthorityUtils.authorityListToSet(context.getPrincipal().getAuthorities())
							.stream()
							.map(c -> c.replaceFirst("^ROLE_", ""))
							.collect(Collectors.collectingAndThen(Collectors.toSet(), Collections::unmodifiableSet)); (6)
					claims.put("roles", roles); (7)
				});
			}
		};
	}
}

1	定义示例用户`user1`使用内存中的`UserDetailsService`.
2	为`user1`.
3	定义一个`OAuth2TokenCustomizer<JwtEncodingContext>` `@Bean`这允许自定义 JWT 声明。
4	检查 JWT 是否是访问Tokens。
5	通过`JwtEncodingContext`.
6	从`Principal`对象。角色信息存储为前缀为`ROLE_`，所以我们在这里去掉前缀。
7	设置自定义声明`roles`到从上一步收集的角色集。

由于此自定义，有关用户的机构信息将作为自定义声明包含在访问Tokens中。spring-doc.cadn.net.cn