HttpSecurity.oauth2Login() proporciona una serie de opciones de configuración para configurar la
autorización OAuth 2.0. Las principales opciones de configuración están agrupadas por sus contrapartes para los
puntos finales del protocolo.
Por ejemplo, oauth2Login().authorizationEndpoint() le permite
configurar un punto final de autorización, mientras que oauth2Login().tokenEndpoint() le
permite configurar un punto final de token.
El siguiente código muestra un ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.authorizationEndpoint(authorization -> authorization
...
)
.redirectionEndpoint(redirection -> redirection
...
)
.tokenEndpoint(token -> token
...
)
.userInfoEndpoint(userInfo -> userInfo
...
)
);
return http.build();
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
authorizationEndpoint {
...
}
redirectionEndpoint {
...
}
tokenEndpoint {
...
}
userInfoEndpoint {
...
}
}
}
return http.build()
}
}El objetivo principal de crear oauth2Login() basado en DSL era coincidir estrechamente con el
nombre definido en las especificaciones.
El marco de autorización de OAuth 2.0 define puntos finales de protocolo de la siguiente manera:
El proceso de autorización utiliza dos Puntos finales del servidor de autorización (recursos HTTP):
Punto final de autorización: utilizado por el cliente para obtener la autorización del propietario del recurso a través de la redirección del agente de usuario.
Punto de token final: utilizado por un cliente para intercambiar permiso de acceso por un token de acceso, normalmente al autenticar al cliente.
También un punto final de cliente:
Punto final de reenvío: utilizado por el servidor de autorización para devolver respuestas que contienen credenciales de autorización al cliente a través del agente de usuario propietario del recurso.
La especificación OpenID Connect Core 1.0 define punto final UserInfo de la siguiente manera:
El punto final UserInfo es un recurso OAuth 2.0 protegido, que devuelve información sobre el usuario final autenticado. Para obtener los datos del usuario final solicitados, el cliente realiza una solicitud al punto final UserInfo utilizando el token de acceso obtenido a través de la autenticación OpenID Connect. Estos valores declarados suelen estar representados por un objeto JSON que contiene un conjunto de pares nombre-valor para los valores declarados.
El siguiente código demuestra todas las opciones de configuración disponibles para oauth2Login() basado
en DSL:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.clientRegistrationRepository(this.clientRegistrationRepository())
.authorizedClientRepository(this.authorizedClientRepository())
.authorizedClientService(this.authorizedClientService())
.loginPage("/login")
.authorizationEndpoint(authorization -> authorization
.baseUri(this.authorizationRequestBaseUri())
.authorizationRequestRepository(this.authorizationRequestRepository())
.authorizationRequestResolver(this.authorizationRequestResolver())
)
.redirectionEndpoint(redirection -> redirection
.baseUri(this.authorizationResponseBaseUri())
)
.tokenEndpoint(token -> token
.accessTokenResponseClient(this.accessTokenResponseClient())
)
.userInfoEndpoint(userInfo -> userInfo
.userAuthoritiesMapper(this.userAuthoritiesMapper())
.userService(this.oauth2UserService())
.oidcUserService(this.oidcUserService())
)
);
return http.build();
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
clientRegistrationRepository = clientRegistrationRepository()
authorizedClientRepository = authorizedClientRepository()
authorizedClientService = authorizedClientService()
loginPage = "/login"
authorizationEndpoint {
baseUri = authorizationRequestBaseUri()
authorizationRequestRepository = authorizationRequestRepository()
authorizationRequestResolver = authorizationRequestResolver()
}
redirectionEndpoint {
baseUri = authorizationResponseBaseUri()
}
tokenEndpoint {
accessTokenResponseClient = accessTokenResponseClient()
}
userInfoEndpoint {
userAuthoritiesMapper = userAuthoritiesMapper()
userService = oauth2UserService()
oidcUserService = oidcUserService()
}
}
}
return http.build()
}
}Además de oauth2Login(), la configuración basada en DSL también admite la configuración XML.
El siguiente código muestra todas las opciones de configuración disponibles en espacio de nombres de seguridad:
<http>
<oauth2-login client-registration-repository-ref="clientRegistrationRepository"
authorized-client-repository-ref="authorizedClientRepository"
authorized-client-service-ref="authorizedClientService"
authorization-request-repository-ref="authorizationRequestRepository"
authorization-request-resolver-ref="authorizationRequestResolver"
access-token-response-client-ref="accessTokenResponseClient"
user-authorities-mapper-ref="userAuthoritiesMapper"
user-service-ref="oauth2UserService"
oidc-user-service-ref="oidcUserService"
login-processing-url="/login/oauth2/code/*"
login-page="/login"
authentication-success-handler-ref="authenticationSuccessHandler"
authentication-failure-handler-ref="authenticationFailureHandler"
jwt-decoder-factory-ref="jwtDecoderFactory"/>
</http>Las siguientes secciones describen cada una de las opciones de configuración disponibles con más detalle:
Inicio de sesión de página OAuth 2.0
Punto final de redirección
Punto final UserInfo
Verificación de la firma del token de identificación
Cierre de sesión de OpenID Connect 1.0
Página de inicio de sesión de OAuth 2.0
De forma predeterminada, la página de inicio de sesión en
OAuth 2.0 se genera automáticamente a través de DefaultLoginPageGeneratingFilter. La página de
autorización predeterminada muestra cada cliente OAuth configurado con su ClientRegistration.clientName
como un enlace que se puede utilizar para iniciar una solicitud de autorización (o inicio de sesión de OAuth 2.0).
DefaultLoginPageGeneratingFilter muestre enlaces para
clientes OAuth configurados, el ClientRegistrationRepository registrado también debe implementar el
código Iterable<ClientRegistration>. Consulte InMemoryClientRegistrationRepository
como referencia.
La asignación de enlace predeterminada para cada cliente OAuth es la siguiente:
OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI
+ "/{registrationId} "
La siguiente línea es un ejemplo:
<a href="/oauth2/authorization/google">Google</a>Para anular la página de inicio de sesión predeterminada, configure
oauth2Login().loginPage() y (opcional) oauth2Login().authorizationEndpoint().baseUri().
La siguiente lista es un ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.loginPage("/login/oauth2")
...
.authorizationEndpoint(authorization -> authorization
.baseUri("/login/oauth2/authorization")
...
)
);
return http.build();
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
loginPage = "/login/oauth2"
authorizationEndpoint {
baseUri = "/login/oauth2/authorization"
}
}
}
return http.build()
}
}<http>
<oauth2-login login-page="/login/oauth2"
...
/>
</http>@Controller @RequestMapping("/login/oauth2"), que puede representar una página de inicio de
sesión personalizada.
Como se señaló anteriormente, agregar oauth2Login().authorizationEndpoint().baseUri()
a la configuración es opcional. Sin embargo, si elige personalizar su configuración, asegúrese de que cada
referencia de cliente OAuth coincida con authorizationEndpoint().baseUri().
La siguiente línea es un ejemplo:
<a href="/login/oauth2/authorization/google">Google</a>Punto final de redireccionamiento
Se utiliza el punto final de redireccionamiento por el servidor de autorización para devolver una respuesta de autorización (que contiene las credenciales de autorización) al cliente a través del agente de usuario del propietario del recurso.
La respuesta predeterminada a la solicitud de autorización para baseUri (punto final de reenvío)
es /login/oauth2/code/*, que se define en OAuth2LoginAuthenticationFilter.DEFAULT_FILTER_PROCESSES_URI.
Si necesita configurar la respuesta de autorización BaseUri punto final, configúrelo, como se
muestra en el siguiente ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.redirectionEndpoint(redirection -> redirection
.baseUri("/login/oauth2/callback/*")
...
)
);
return http.build();
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
redirectionEndpoint {
baseUri = "/login/oauth2/callback/*"
}
}
}
return http.build()
}
}
<http>
<oauth2-login login-processing-url="/login/oauth2/callback/*"
...
/>
</http>También debe asegurarse que
ClientRegistration.redirectUri corresponde a una respuesta de solicitud de autorización personalizada
para baseUri.
La siguiente lista es un ejemplo:
return CommonOAuth2Provider.GOOGLE.getBuilder("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.redirectUri("{baseUrl}/login/oauth2/callback/{registrationId}")
.build();
return CommonOAuth2Provider.GOOGLE.getBuilder("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.redirectUri("{baseUrl}/login/oauth2/callback/{registrationId}")
.build() Punto final UserInfo
UserInfo El punto final contiene una serie de opciones de configuración, que se describen en las siguientes subsecciones:
Asignación de permisos de usuario
Servicio de usuario de OAuth 2.0
Servicio de usuario de OpenID Connect 1.0
Visualización de permisos de usuario
Después de que el usuario se haya autenticado exitosamente a través de OAuth 2.0 proveedor, OAuth2User.getAuthorities() (o OidcUser.getAuthorities()) se puede asignar a un nuevo conjunto de
instancias GrantedAuthority, que serán se pasa a OAuth2AuthenticationToken cuando se
completa la autenticación.
OAuth2AuthenticationToken.getAuthorities() se utiliza para
autorizar solicitudes, por ejemplo en hasRole('USER') o hasRole('ADMIN').
Hay varias opciones para mostrar los permisos de usuario:
Uso GrantedAuthoritiesMapper
Estrategia basada en delegación utilizando OAuth2UserService
Uso de GrantedAuthoritiesMapper
Especifique la implementación GrantedAuthoritiesMapper y configúrela como se muestra en el siguiente
ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.userAuthoritiesMapper(this.userAuthoritiesMapper())
...
)
);
return http.build();
}
private GrantedAuthoritiesMapper userAuthoritiesMapper() {
return (authorities) -> {
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
authorities.forEach(authority -> {
if (OidcUserAuthority.class.isInstance(authority)) {
OidcUserAuthority oidcUserAuthority = (OidcUserAuthority)authority;
OidcIdToken idToken = oidcUserAuthority.getIdToken();
OidcUserInfo userInfo = oidcUserAuthority.getUserInfo();
// Asigna los valores reclamados que se encuentran en idToken y/o userInfo
// a una o más GrantedAuthorities y agrégalos a mappedAuthorities
} else if (OAuth2UserAuthority.class.isInstance(authority)) {
OAuth2UserAuthority oauth2UserAuthority = (OAuth2UserAuthority)authority;
Map<String, Object> userAttributes = oauth2UserAuthority.getAttributes();
// Asigna los atributos encontrados en userAttributes
// a una o más GrantedAuthorities y agrégalos a mappedAuthorities
}
});
return mappedAuthorities;
};
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
userAuthoritiesMapper = userAuthoritiesMapper()
}
}
}
return http.build()
}
private fun userAuthoritiesMapper(): GrantedAuthoritiesMapper = GrantedAuthoritiesMapper { authorities: Collection<GrantedAuthority> ->
val mappedAuthorities = emptySet<GrantedAuthority>()
authorities.forEach { authority ->
if (authority is OidcUserAuthority) {
val idToken = authority.idToken
val userInfo = authority.userInfo
// Asigna los valores reclamados que se encuentran en idToken y/o userInfo
// a una o más GrantedAuthorities y agrégalos a mappedAuthorities
} else if (authority is OAuth2UserAuthority) {
val userAttributes = authority.attributes
// Asigna los atributos encontrados en userAttributes
// a una o más GrantedAuthorities y agrégalos a mappedAuthorities
}
}
mappedAuthorities
}
}}
<http>
<oauth2-login user-authorities-mapper-ref="userAuthoritiesMapper"
...
/>
</http>Como alternativa, puede registrar un @Bean para GrantedAuthoritiesMapper para que
se aplique automáticamente a la configuración, como se muestra en el siguiente ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(withDefaults());
return http.build();
}
@Bean
public GrantedAuthoritiesMapper userAuthoritiesMapper() {
...
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login { }
}
return http.build()
}
@Bean
fun userAuthoritiesMapper(): GrantedAuthoritiesMapper {
...
}
}Estrategia basada en delegación usando OAuth2UserService
Esta estrategia es más avanzada que
usar GrantedAuthoritiesMapper, sin embargo, también es más flexible porque Da acceso a OAuth2UserRequest
y OAuth2User (cuando se usa OAuth 2.0 UserService) o OidcUserRequest y
OidcUser (cuando se usa OpenID Connect 1.0 UserService).
OAuth2UserRequest (y
OidcUserRequest) proporciona acceso al OAuth2AccessToken asociado, que es muy útil en
casos en los que el delegador necesita obtener información de permisos de un recurso protegido antes de
poder mostrar permisos personalizados al usuario.
El siguiente ejemplo muestra cómo implementar y configurar una estrategia basada en delegación utilizando OpenID Connect 1.0 UserService:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.oidcUserService(this.oidcUserService())
...
)
);
return http.build();
}
private OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {
final OidcUserService delegate = new OidcUserService();
return (userRequest) -> {
// Delegar los poderes de la implementación estándar para cargar el usuario
OidcUser oidcUser = delegate.loadUser(userRequest);
OAuth2AccessToken accessToken = userRequest.getAccessToken();
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
// TODO
// 1) Delegar los poderes de la implementación estándar para cargar el usuario
// 2) Asigne la información de autoridad a una o más GrantedAuthorities y agréguela a mappedAuthorities
// 3) Cree una copia de oidcUser, pero use mappedAuthorities
oidcUser = new DefaultOidcUser(mappedAuthorities, oidcUser.getIdToken(), oidcUser.getUserInfo());
return oidcUser;
};
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
oidcUserService = oidcUserService()
}
}
}
return http.build()
}
@Bean
fun oidcUserService(): OAuth2UserService<OidcUserRequest, OidcUser> {
val delegate = OidcUserService()
return OAuth2UserService { userRequest ->
// Delegar los poderes de la implementación estándar para cargar el usuario
var oidcUser = delegate.loadUser(userRequest)
val accessToken = userRequest.accessToken
val mappedAuthorities = HashSet<GrantedAuthority>()
// TODO
// 1) Delegar los poderes de la implementación estándar para cargar el usuario
// 2) Asigne la información de autoridad a una o más GrantedAuthorities y agréguela a mappedAuthorities
// 3) Cree una copia de oidcUser, pero use mappedAuthorities
oidcUser = DefaultOidcUser(mappedAuthorities, oidcUser.idToken, oidcUser.userInfo)
oidcUser
}
}
}<http>
<oauth2-login oidc-user-service-ref="oidcUserService"
...
/>
</http>OAuth 2.0 UserService
DefaultOAuth2UserService es una implementación de OAuth2UserService, que admite
proveedores estándar de OAuth 2.0.
OAuth2UserService recupera los atributos de usuario del
usuario
final (recurso propietario) desde el punto final UserInfo (utilizando el token de acceso proporcionado al
cliente
durante el flujo de autorización) y devuelve AuthenticatedPrincipal en el formato
OAuth2User.
DefaultOAuth2UserService utiliza RestOperations cuando solicita atributos
personalizados en el punto final UserInfo.
Si desea configurar el procesamiento previo de solicitudes de
UserInfo, puede pasar DefaultOAuth2UserService.setRequestEntityConverter() con Convertidor<OAuth2UserRequest,
RequestEntity<?>> personalizado. La implementación estándar de OAuth2UserRequestEntityConverter
crea una representación RequestEntity de la solicitud UserInfo, que de forma predeterminada
establece
OAuth2AccessToken en Authorization header.
Por otro lado, si necesita configurar el
posprocesamiento de la respuesta UserInfo, deberá pasar
DefaultOAuth2UserService.setRestOperations()
con un configurado personalizado RestOperaciones. Las RestOperations están
configuradas
de la siguiente manera de forma predeterminada:
RestTemplate restTemplate = new RestTemplate(); restTemplate.setErrorHandler(new
OAuth2ErrorResponseErrorHandler());OAuth2ErrorResponseErrorHandler es un ResponseErrorHandler que puede manejar Error
de OAuth 2.0 (400 solicitud incorrecta). Utiliza OAuth2ErrorHttpMessageConverter para convertir los
parámetros de error de OAuth 2.0 a OAuth2Error.
Ya sea que configure DefaultOAuth2UserService
o pase su propio implementación de OAuth2UserService, deberá configurarla como se muestra en el
siguiente ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.userService(this.oauth2UserService())
...
)
);
return http.build();
}
private OAuth2UserService<OAuth2UserRequest, OAuth2User> oauth2UserService() {
...
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
userService = oauth2UserService()
// ...
}
}
}
return http.build()
}
private fun oauth2UserService(): OAuth2UserService<OAuth2UserRequest, OAuth2User> {
// ...
}
}OpenID Connect 1.0 UserService
OidcUserService es una implementación de OAuth2UserService
que admite el proveedor OpenID Connect 1.0.
OidcUserService utiliza DefaultOAuth2UserService
al solicitar atributos personalizados en un endpoint UserInfo.
Si necesita configurar el preprocesamiento de
la solicitud UserInfo y/o el posprocesamiento de la respuesta UserInfo, deberá pasar OidcUserService.setOauth2UserService()
con un DefaultOAuth2UserService configurado personalizado.
Ya sea que configure OidcUserService
o pase su propia implementación de OAuth2UserService para el proveedor OpenID Connect 1.0 , deberá
configurarlo como se muestra en el siguiente ejemplo:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.userInfoEndpoint(userInfo -> userInfo
.oidcUserService(this.oidcUserService())
...
)
);
return http.build();
}
private OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {
...
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
oauth2Login {
userInfoEndpoint {
oidcUserService = oidcUserService()
// ...
}
}
}
return http.build()
}
private fun oidcUserService(): OAuth2UserService<OidcUserRequest, OidcUser> {
// ...
}
}Verificación de firma de token de ID
La autenticación OpenID Connect 1.0 proporciona un token de ID , que es un token de seguridad que contiene los valores de autenticación reclamados por el usuario final del servidor de autorización cuando lo utiliza el cliente.
El token de ID se representa como un token web JSON (JWT) y DEBE firmarse con Firmas web JSON (JWS).
OidcIdTokenDecoderFactory
proporciona JwtDecoder, utilizado para verificar la firma OidcIdToken. El algoritmo
predeterminado es RS256, pero puede ser diferente si lo asigna durante el registro del cliente. En
tales casos, el solucionador se puede configurar para devolver el algoritmo esperado para JWS asignado a un
cliente
específico.
El solucionador de algoritmo para JWS es una Function que acepta un
ClientRegistration y devuelve el JwsAlgorithm esperado para el cliente, como SignatureAlgorithm.RS256
o MacAlgorithm.HS256.
El siguiente código demuestra cómo configurar @Bean para
OidcIdTokenDecoderFactory, que por defecto será MacAlgorithm.HS256 para todos los
ClientRegistration:
@Bean
public JwtDecoderFactory<ClientRegistration> idTokenDecoderFactory() {
OidcIdTokenDecoderFactory
idTokenDecoderFactory = new OidcIdTokenDecoderFactory(); idTokenDecoderFactory.setJwsAlgorithmResolver(clientRegistration -> MacAlgorithm.HS256);
return idTokenDecoderFactory;
}
@Bean
fun idTokenDecoderFactory(): JwtDecoderFactory<ClientRegistration?> {
val idTokenDecoderFactory = OidcIdTokenDecoderFactory()
idTokenDecoderFactory.setJwsAlgorithmResolver { MacAlgorithm.HS256 }
return idTokenDecoderFactory
}HS256,
HS384
o HS512, client-secret se utiliza como clave simétrica para la verificación de firmas correspondiente a client-id.
ClientRegistration,
el solucionador de algoritmos para JWS puede evaluar el ClientRegistration pasado para determinar
qué
algoritmo devolver.
Cierre de sesión de OpenID Connect 1.0
OpenID Connect Session Management 1.0 proporciona la capacidad de registrar el cierre de sesión del usuario final en el lado del proveedor utilizando el cliente. Una de las estrategias disponibles es cierre de sesión iniciado por RP.
Si el proveedor OpenID admite tanto la gestión de sesiones como el descubrimiento, el cliente puede
recibir
URL del endpoint end_session_endpoint de metadatos de
descubrimiento
de el proveedor de OpenID. Esto se puede lograr configurando ClientRegistration con
issuer-uri,
como se muestra en el siguiente ejemplo:
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
...
provider:
okta:
issuer-uri: https://dev-1234.oktapreview.com...y OidcClientInitiatedLogoutSuccessHandler, que implementa el cierre de sesión iniciado
por el cliente, se pueden configurar de la siguiente manera:
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Autowired
private ClientRegistrationRepository clientRegistrationRepository;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.logout(logout -> logout
.logoutSuccessHandler(oidcLogoutSuccessHandler())
);
return http.build();
}
private LogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedLogoutSuccessHandler oidcLogoutSuccessHandler =
new OidcClientInitiatedLogoutSuccessHandler(this.clientRegistrationRepository);
// Establece la ubicación a la que se redirigirá el agente de usuario final
// después de cerrar sesión en el lado del proveedor
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");
return oidcLogoutSuccessHandler;
}
}
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Autowired
private lateinit var clientRegistrationRepository: ClientRegistrationRepository
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
logout {
logoutSuccessHandler = oidcLogoutSuccessHandler()
}
}
return http.build()
}
private fun oidcLogoutSuccessHandler(): LogoutSuccessHandler {
val oidcLogoutSuccessHandler = OidcClientInitiatedLogoutSuccessHandler(clientRegistrationRepository)
// Establece la ubicación a la que se redirigirá el agente de usuario final
// después de cerrar sesión en el lado del proveedor
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
return oidcLogoutSuccessHandler
}
}OidcClientInitiatedLogoutSuccessHandler admite el marcador
de
posición {baseUrl}. En caso de usando la URL principal de la aplicación, como app.example.org, la reemplazará en el momento de la
solicitud.
GO TO FULL VERSION