设计支持JWT和自定义权限的Spring Security OAuth2资源服务器

题目

设计支持JWT和自定义权限的Spring Security OAuth2资源服务器

信息

• 类型：问答
• 难度：⭐⭐⭐

考点

OAuth2资源服务器配置,JWT令牌验证,自定义权限验证,细粒度权限控制

快速回答

实现需要三个核心步骤：

1. 配置资源服务器使用JWT解析器并验证令牌签名
2. 通过JwtAuthenticationConverter转换JWT声明为权限
3. 实现PermissionEvaluator接口完成基于业务逻辑的细粒度权限控制

关键代码示例：

@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  http.oauth2ResourceServer(oauth2 -> oauth2
    .jwt(jwt -> jwt
      .jwtAuthenticationConverter(customJwtConverter())
    )
  );
}

1. 核心实现原理

Spring Security OAuth2资源服务器的权限控制分为两层：

• 基础认证层：验证JWT签名、有效期等，通过JwtDecoder实现
• 权限映射层：将JWT声明转换为GrantedAuthority对象
• 业务权限层：基于业务参数实现动态权限验证（如@PostAuthorize("hasPermission(#id, 'Order', 'READ')")）

2. 完整配置示例

资源服务器配置

@Configuration
@EnableMethodSecurity(prePostEnabled = true)
public class SecurityConfig {

  @Bean
  SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
      .authorizeHttpRequests(auth -> auth
        .anyRequest().authenticated()
      )
      .oauth2ResourceServer(oauth2 -> oauth2
        .jwt(jwt -> jwt
          .decoder(jwtDecoder())
          .jwtAuthenticationConverter(customJwtConverter())
        )
      );
    return http.build();
  }

  @Bean
  JwtDecoder jwtDecoder() {
    return NimbusJwtDecoder.withJwkSetUri("https://idp.example.com/.well-known/jwks.json").build();
  }
}

自定义JWT转换器

public class CustomJwtConverter implements Converter<Jwt, AbstractAuthenticationToken> {

  @Override
  public AbstractAuthenticationToken convert(Jwt jwt) {
    // 从JWT自定义声明中提取权限
    List<String> permissions = jwt.getClaim("user_permissions");
    Set<GrantedAuthority> authorities = permissions.stream()
      .map(SimpleGrantedAuthority::new)
      .collect(Collectors.toSet());

    return new JwtAuthenticationToken(jwt, authorities);
  }
}

自定义权限评估器

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

  @Override
  public boolean hasPermission(Authentication auth, 
                              Object targetId, 
                              String targetType, 
                              Object permission) {

    // 实际业务逻辑示例：验证用户对订单的访问权
    if ("Order".equals(targetType)) {
      Long orderId = (Long) targetId;
      String requiredPerm = (String) permission;

      // 1. 从Authentication获取当前用户
      User user = (User) auth.getPrincipal();

      // 2. 查询数据库验证用户是否拥有该订单的指定权限
      return orderService.checkOrderPermission(user.getId(), orderId, requiredPerm);
    }
    return false;
  }
}

启用方法级安全控制

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

  @Autowired
  private CustomPermissionEvaluator permissionEvaluator;

  @Override
  protected MethodSecurityExpressionHandler createExpressionHandler() {
    DefaultMethodSecurityExpressionHandler handler = 
      new DefaultMethodSecurityExpressionHandler();
    handler.setPermissionEvaluator(permissionEvaluator);
    return handler;
  }
}

3. 最佳实践

• 声明设计：在JWT中使用标准声明（scope）和自定义声明（如user_permissions）分离基础权限和业务权限
• 权限缓存：在PermissionEvaluator中实现数据库查询缓存，避免频繁访问
• 防御策略：在JWT转换器中验证令牌签名算法（防止none算法攻击）

4. 常见错误

• 错误1：未验证JWT签名算法
  解决方案：在JwtDecoder中显式配置JWS算法
• 错误2：权限评估器未处理空目标对象
  解决方案：添加空值检查并返回false
• 错误3：混淆@PreAuthorize和@PostAuthorize的使用场景
  正确用法：数据ID在参数中时用@PreAuthorize，需要返回值时用@PostAuthorize

5. 扩展知识

• 动态权限刷新：结合Redis实现权限变更时JWT声明的实时更新（需配合短过期时间）
• 多租户支持：通过自定义JwtDecoder根据请求头选择不同的JWK源
• 性能优化：使用JwtAuthenticationProvider的setJwtValidator()添加自定义验证器时注意链式调用顺序