基于Spring Security 6的OAuth2 系列之十五 - 高级特性--客户端认证方式

之所以想写这一系列，是因为之前工作过程中使用Spring Security OAuth2搭建了网关和授权服务器，但当时基于spring-boot 2.3.x，其默认的Spring Security是5.3.x。之后新项目升级到了spring-boot 3.3.0，结果一看Spring Security也升级为6.3.0。无论是Spring Security的风格和以及OAuth2都做了较大改动，里面甚至将授权服务器模块都移除了，导致在配置同样功能时，花费了些时间研究新版本的底层原理，这里将一些学习经验分享给大家。

注意：由于框架不同版本改造会有些使用的不同，因此本次系列中使用基本框架是 spring-boo-3.3.0（默认引入的Spring Security是6.3.0），JDK版本使用的是19，本系列OAuth2的代码采用Spring Security6.3.0框架，所有代码都在oauth2-study项目上：https://github.com/forever1986/oauth2-study.git

从本章开始，就会讲解一些高级的特性，这些非必须的，看你项目是否有需要。这一章讲一下客户端认证的方式。我们来看一下lesson02子模块的yaml文件一个配置，client-authentication-methods配置了client_secret_basic，如下图：

这是配置的客户端认证的方式，在我们执行获取token的时候，需要在Authorization 配置，这就是client_secret_basic的认证模式，如下图：

为了传输的安全性，OAuth2提供了多种不同的客户端认证方式，包括client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、none、tls_client_auth和self_signed_tls_client_auth。下面我们先讲一下原理，再一一讲解这些不同的认证方式：

1 客户端认证原理

在《系列之八 - 授权服务器–Spring Authrization Server的基本原理》中，我们知道客户端的认证通过OAuth2ClientAuthenticationFilter过滤器来，我们下面看看源代码:

从上图中，我们看到有三部分比较重要：

• 1）匹配请求认证的URL：主要拦截/oauth2/token、/oauth2/introspect、/oauth2/revoke
• 2）使用authenticationConverter从请求中获取客户端信息：主要有client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、none、tls_client_auth和self_signed_tls_client_auth不同认证方式
• 3）对客户端进行认证：对应不同的认证方式，采用不同的AuthenticationProvider来做认证操作

其中第二步中，authenticationConverter是一个代理的Converter，由以下图不同转换器组成，可以匹配OAuth2规定的不同认证方式，这就是不同认证方式获取的方式，下面我们就开始对不同转换器进行解读和演示。

其中第三步，AuthenticationProvider是一个代理，由以下图不同的AuthenticationProvider组成：

这样通过不同AuthenticationProvider和authenticationConverter就可以匹配OAuth2规定的不同认证方式，因此我们知道有3个关键的点决定客户端认证：

• client-authentication-methods：其配置用于支持哪种客户端认证方式
• authenticationConverter：就是为了解析参数不同客户端认证传入的参数
• AuthenticationProvider：不同客户端的认证

以下是不同认证方式的汇总：

认证方式	说明
client_secret_basic、client_secret_post	采用客户端名称+密码的方式，两种方式是传递方式不同，一种通过请求头(Authorization)，一种是通过Body参数
client_secret_jwt、private_key_jwt	采用jwt格式的token
none	结合PKCE的认证
tls_client_auth、self_signed_tls_client_auth	结合证书的认证

下面我们开始验证不同客户端认证：

2 基础代码

本次演示代码以lesson09子模块为授权服务器，使用Postman进行访问，注意：这里为了方便使用客户端模式，而非授权码模式，后面各种认证方式都是基于lesson09子模块进行改进。

1）新建lesson09子模块，pom引入如下：

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-oauth2-authorization-server</artifactId></dependency>
</dependencies>

2）配置yaml文件，主要配置端口和security的用户密码

server:port: 9000logging:level:org.springframework.security: tracespring:security:# 使用security配置授权服务器的登录用户和密码user:name: userpassword: 1234

3）在config包下，配置SecurityConfig

@Configuration
public class SecurityConfig {// 自定义授权服务器的Filter链@Bean@Order(Ordered.HIGHEST_PRECEDENCE)SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)// oidc配置.oidc(withDefaults());// 异常处理http.exceptionHandling((exceptions) -> exceptions.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login")));return http.build();}// 自定义Spring Security的链路。如果自定义授权服务器的Filter链，则原先自动化配置将会失效，因此也要配置Spring Security@Bean@Order(SecurityProperties.BASIC_AUTH_ORDER)SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests((authorize) -> authorize.requestMatchers("/jwt").permitAll().anyRequest().authenticated()).formLogin(withDefaults());return http.build();}@Beanpublic RegisteredClientRepository registeredClientRepository() {RegisteredClient registeredClient3 = RegisteredClient.withId(UUID.randomUUID().toString())// 客户端id.clientId("oidc-client")// 客户端密码.clientSecret("{noop}secret")// 客户端认证方式.clientAuthenticationMethods(methods ->{methods.add(ClientAuthenticationMethod.CLIENT_SECRET_BASIC);})// 这里为了方便采用客户端模式，而非授权码模式.authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)// 回调地址.redirectUri("http://localhost:8080/login/oauth2/code/oidc-client").postLogoutRedirectUri("http://localhost:8080/")// 授权范围.scopes(scopes->{scopes.add(OidcScopes.OPENID);scopes.add(OidcScopes.PROFILE);}).build();return new InMemoryRegisteredClientRepository(registeredClient3 );}}

4）配置启动类Oauth2Lesson09ServerApplication，并启动项目

3 不同的认证

3.1 基于client_secret_basic认证

将 clientId 和 clientSecret 拼接并编码放到请求头(Authorization)去请求授权服务器，如果使用postman工具，则会自动完成这过程（clientId 和 clientSecret 通过 ‘:’ 号拼接，并使用 Base64 进行编码得到一个字符串）

3.1.1 原理

参数转换：ClientSecretBasicAuthenticationConverter
认证处理：ClientSecretAuthenticationProvider

client_secret_basic的认证方式是基于ClientSecretBasicAuthenticationConverter转换器来获取请求传过来的客户端信息，如下图：

3.1.2 代码实现

1）客户端配置的client-authentication-methods中增加client_secret_basic认证方式

2）在请求token时，在header的Authorization字段配置客户端即可，如下图：

参数：Authorization字段，设置为Basic Auth，并填写客户端信息的Username和Password

3.2 基于client_secret_post认证

该认证方法和client_secret_basic基本上一样，采用同一个ClientSecretAuthenticationProvider进行认证，唯一不同的是将 clientId 和 clientSecret 放到Body中参数去请求授权服务器

3.2.1 原理

参数转换：ClientSecretPostAuthenticationConverter
认证处理：ClientSecretAuthenticationProvider

client_secret_post的认证方式是基于ClientSecretPostAuthenticationConverter转换器来获取请求传过来的客户端信息，如下图：

3.2.2 代码实现

1）客户端配置的client-authentication-methods中增加client_secret_post认证方式

2）在请求token时，在参数配置客户端信息即可，如下图：

参数：Body字段，设置客户端信息的client_id和client_secret

3.3 基于client_secret_jwt和private_key_jwt认证

这两个一起讲其实是因为这2个实现方式一模一样，就是将客户端信息通过加密生成jwt的字符串，将jwt放入body参数client_assertion中发给授权服务器，授权服务器通过解析这个jwt字符串进行解密。唯一不同的是：

• client_secret_jwt是对称加密，通过clientSecret进行加密
• private_key_jwt是非对称加密，就是客户端发布自己的密钥，将公钥给授权服务器。

3.3.1 原理

参数转换：JwtClientAssertionAuthenticationConverter
认证处理：JwtClientAssertionAuthenticationProvider

client_secret_jwt的认证方式是基于JwtClientAssertionAuthenticationConverter转换器来获取请求传过来的客户端信息，如下图：

从源代码可以看到，是基于请求参数通过JWT方式来传递客户端信息，因此我们只需要先在client-authentication-methods配置client_secret_jwt，然后在请求token时，在参数配置client_assertion_type、client_assertion（JWT方式加密的客户端信息）以及client_id。我们还需要看一下JwtClientAssertionAuthenticationProvider如何解密JWT的客户端信息，如下图：

从上图我们知道，是通过JwtClientAssertionDecoderFactory，而JwtClientAssertionDecoderFactory是通过客户端配置的ClientSettings来配置JWT的加密方式进行解密，会判断对称或者非对称加密，如下图：

3.3.2 代码实现

我们这里就演示一个非对称加密方式private_key_jwt，以SignatureAlgorithm.RS256加密方式，密钥采用lesson08子模块的demo.jks。关于对称加密采用MacAlgorithm.HS256即可。
注意：从源代码看，其实你无论配置private_key_jwt或者client_secret_jwt都无所谓，对不对称关键在于ClientSettings的配置，如果配置SignatureAlgorithm.RS256就是非对称加密，配置MacAlgorithm.HS256就是对称加密

1）将lesson08子模块的resources目录下的demo.jks拷贝到lesson09子模块的resources目录下

2）在config包下SecurityConfig，进行客户端配置的client-authentication-methods中增加private_key_jwt认证方式以及密钥的配置

3）在config包下SecurityConfig，配置/jwt可以无权限访问

4）在controller包下，现在JwtController，包括发布jwt接口以及加载本地demo.jks

@RestController
public class JwtController {/*** 返回公钥* @return*/@GetMapping("/jwt")public String jwt(){JWKSet jwkSet;try {JWKSelector jwkSelector = new JWKSelector(new JWKMatcher.Builder().build());jwkSet = new JWKSet(jwkSource().get(jwkSelector, null));}catch (Exception ex) {throw new IllegalStateException("Failed to select the JWK(s) -> " + ex.getMessage(), ex);}return jwkSet.toString();}private static String UUID_STR = "b07b297d-a1e3-4a86-a8fe-632ebd61545b";// Jwt加密private static JwtEncoder jwtEncoder() {NimbusJwtEncoder jwtEncoder = new NimbusJwtEncoder(jwkSource());return jwtEncoder;}// Jwt解密private static JwtDecoder jwtDecoder() {NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withPublicKey((RSAPublicKey)generateRsaKey().getPublic()).build();return jwtDecoder;}// 获取JWKSourceprivate static JWKSource<SecurityContext> jwkSource() {KeyPair keyPair = generateRsaKey();RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();RSAKey rsaKey = new RSAKey.Builder(publicKey).privateKey(privateKey).keyID(UUID_STR).build();JWKSet jwkSet = new JWKSet(rsaKey);return new ImmutableJWKSet<>(jwkSet);}// 获取本地的demo.jksprivate static KeyPair generateRsaKey() {KeyStoreKeyFactory factory = new KeyStoreKeyFactory(new ClassPathResource("demo.jks"), "linmoo".toCharArray());KeyPair keyPair = factory.getKeyPair("demo", "linmoo".toCharArray());return keyPair;}public static void main(String[] args) {String clientId = "oidc-client";// 至少以下四项信息JwtClaimsSet.Builder claimsBuilder = JwtClaimsSet.builder();claimsBuilder// 发布者.issuer(clientId)// 对象.subject(clientId)// 授权服务器地址.audience(Collections.singletonList("http://localhost:9000"))// 发布时间.issuedAt((new Timestamp(System.currentTimeMillis())).toInstant())// 过期时间.expiresAt((new Date(System.currentTimeMillis() + 1000 * 60 * 10)).toInstant()).id(UUID.randomUUID().toString());JwsHeader.Builder jwsHeaderBuilder = JwsHeader.with(SignatureAlgorithm.RS256);JwsHeader jwsHeader = jwsHeaderBuilder.build();JwtClaimsSet claims = claimsBuilder.build();Jwt jwt = jwtEncoder().encode(JwtEncoderParameters.from(jwsHeader, claims));String token = jwt.getTokenValue();System.out.println(token);Jwt newjwt =jwtDecoder().decode(token);System.out.println(newjwt);}
}

5）运行JwtController的main函数，生成一个token，将token放到postman的client_assertion参数

6）在请求token时，在参数配置client_id、client_assertion_type和client_assertion即可，如下图：

参数：Body字段，设置客户端信息的client_id、client_assertion_type和client_assertion

3.4 基于none认证

none方式一开始看还以为是不需要认证，其实不是，我们知道客户端一般需要保存Secrets，但是有时候客户端可能只是一个前端应用，其Secrets有可能暴露在代码中，OAuth2为了防止这种情况，采用了PKCE方式。而这个PKCE方式就是采用none认证方式。这一部分我们下一章再讲，请耐心等待《系列之十六 - 高级特性–PKCE》

3.5 基于tls_client_auth和self_signed_tls_client_auth认证

这部分涉及到https以及证书认证的基础知识，相对会复杂一些，因此我们单独开两章来讲，放在后续讲，请耐心等待《系列之二十二 - 高级特性–TLS客户端认证方法之一》和《系列之二十三 - 高级特性–TLS客户端认证方法之二》中来讲

结语：本章讲了授权服务器对客户端认证的几种不同方式及其原理，并使用代码演示一遍。下一章我们继续讲述这一部分内容，也就是none方式的客户端认证，但是会有一个新的扩展-PKCE扩展，这是OAuth2.1版本才有的，说明Spring Security 6 还是走在比较前面。