Spring Authorization Server 实战：如何在JWT访问令牌中添加自定义权限声明

Spring Authorization Server 实战：如何在JWT访问令牌中添加自定义权限声明

spring-authorization-server Spring Authorization Server 项目地址: https://gitcode.com/gh_mirrors/sp/spring-authorization-server

前言

在现代OAuth2.0授权体系中，JWT(JSON Web Token)已成为访问令牌的标准格式之一。Spring Authorization Server作为新一代的授权服务器实现，提供了灵活的JWT自定义能力。本文将深入讲解如何在JWT访问令牌中添加自定义权限声明，帮助资源服务器更好地理解用户的访问权限。

核心概念解析

在开始技术实现前，我们需要明确几个关键概念：

1. JWT访问令牌：采用JSON格式的令牌，包含头部(Header)、载荷(Payload)和签名(Signature)三部分
2. 自定义声明(Custom Claims)：JWT载荷中除标准声明(如iss, sub等)外，开发者自定义的键值对
3. 权限(Authorities)：代表用户拥有的角色、权限或组信息，如"ROLE_ADMIN"、"read:data"等

基础实现：添加自定义声明

Spring Authorization Server提供了OAuth2TokenCustomizer<JWTEncodingContext>接口，允许我们自定义JWT内容。以下是基础实现步骤：

@Configuration
public class CustomClaimsConfiguration {
    
    @Bean
    public OAuth2TokenCustomizer<JwtEncodingContext> jwtCustomizer() {
        return context -> {
            if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) {
                context.getClaims().claims(claims -> {
                    claims.put("custom-claim", "custom-value");
                });
            }
        };
    }
}

关键点说明：

• 通过OAuth2TokenType.ACCESS_TOKEN判断当前定制的是访问令牌
• 使用context.getClaims()获取JWT声明构建器
• claims.put()方法添加自定义声明

进阶实现：添加权限声明

实际业务中，我们更常需要将用户权限信息包含在令牌中。以下是完整实现方案：

@Configuration
public class CustomClaimsWithAuthoritiesConfiguration {
    
    // 1. 定义示例用户
    @Bean
    public UserDetailsService users() {
        UserDetails user = User.withUsername("user1")
            .password("{noop}password")
            // 2. 分配角色
            .roles("USER", "ADMIN")
            .build();
        return new InMemoryUserDetailsManager(user);
    }
    
    // 3. 定义JWT定制器
    @Bean
    public OAuth2TokenCustomizer<JwtEncodingContext> jwtCustomizer() {
        return context -> {
            // 4. 检查是否为访问令牌
            if (OAuth2TokenType.ACCESS_TOKEN.equals(context.getTokenType())) {
                // 5. 获取声明构建器
                context.getClaims().claims(claims -> {
                    // 6. 从Principal提取角色
                    Set<String> roles = context.getPrincipal().getAuthorities().stream()
                        .map(GrantedAuthority::getAuthority)
                        .map(authority -> authority.replace("ROLE_", ""))
                        .collect(Collectors.toSet());
                    
                    // 7. 设置自定义角色声明
                    claims.put("roles", roles);
                });
            }
        };
    }
}

技术要点解析：

1. 角色前缀处理：Spring Security默认会为角色添加"ROLE_"前缀，我们在添加到JWT前需要去除
2. 声明命名规范：自定义声明建议使用小写字母命名，符合JWT最佳实践
3. 集合类型处理：角色信息通常以集合形式存在，直接转换为Set类型存入JWT

实际应用场景

这种技术在实际系统中有多种应用场景：

1. 细粒度权限控制：资源服务器可以直接解析JWT中的权限信息，无需额外查询
2. 微服务架构：在服务间传递用户权限信息，实现分布式权限管理
3. 审计日志：记录用户操作时附带完整的权限信息
4. 前端展示：前端可根据权限信息动态调整UI展示

安全注意事项

在实现自定义声明时，需要注意以下安全事项：

1. 敏感信息：不要在JWT中包含密码等敏感信息
2. 声明大小：JWT大小会影响网络传输效率，避免添加过多声明
3. 信息时效性：JWT一旦签发无法撤销，权限变更需要等待令牌过期
4. 签名验证：确保资源服务器正确验证JWT签名

总结

通过本文我们学习了如何在Spring Authorization Server中为JWT访问令牌添加自定义权限声明。这种技术为构建安全、高效的授权系统提供了重要基础。开发者可以根据实际业务需求，扩展更多自定义声明，构建更加强大的授权体系。

在实际项目中，建议结合Spring Security的权限机制，设计合理的权限模型，确保系统安全性的同时提供良好的开发体验。

spring-authorization-server Spring Authorization Server 项目地址: https://gitcode.com/gh_mirrors/sp/spring-authorization-server