我很高兴地宣布，Spring Security 6.3 将支持 OAuth 2.0 令牌交换授予 (RFC 8693)，目前最新的里程碑版本 (6.3.0-M3) 中已提供预览。此支持提供了使用令牌交换与 OAuth2 客户端 的功能。类似地，服务器端支持也随 Spring Authorization Server 1.3 一起发布，目前最新的里程碑版本 (1.3.0-M3) 中已提供预览。

Spring Security 的 OAuth2 客户端功能使我们能够轻松地向受 OAuth2 载荷令牌保护的 API 发出受保护的资源请求。类似地，Spring Security 的 OAuth2 资源服务器功能使我们能够使用 OAuth2 来保护 API。让我们看看如何使用新的支持构建带有令牌交换的 OAuth2 流程。

一个例子

假设我们有一个名为 user-service 的资源服务器，它提供了一个用于访问用户信息的 API。为了向 user-service 发出请求，客户端必须提供一个访问令牌。假设令牌必须具有 user-service 的受众 (aud 声明)。这可能如下所示，作为 Spring Boot 配置属性

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://my-auth-server.com
          audiences: user-service

现在假设我们想引入一个名为 message-service 的新资源服务器，并从 user-service 调用它。然后假设此新服务的令牌必须具有 message-service 的受众。显然，我们不能在对 message-service 的请求中重复使用对 user-service 的请求中的令牌。但是，我们希望保留原始请求中用户的身份。我们如何实现这一点？

为了获取 message-service 所需的访问令牌，资源服务器 user-service 必须成为客户端，并交换现有的令牌以获取一个保留原始令牌身份（用户）的新令牌。这称为 “模拟”，并且正是 OAuth 2.0 令牌交换旨在解决的场景。

将资源服务器配置为客户端

要启用令牌交换，我们需要将 user-service 配置为既充当资源服务器又充当可以使用令牌交换的客户端，如下面的 Spring Boot 配置属性所示

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://my-auth-server.com
          audiences: user-service
      client:
        registration:
          my-token-exchange-client:
            provider: my-auth-server
            client-id: token-client
            client-secret: token
            authorization-grant-type: urn:ietf:params:oauth:grant-type:token-exchange
            client-authentication-method: client_secret_basic
            scope:
                - message.read
        provider:
          my-auth-server:
            issuer-uri: https://my-auth-server.com

我们还需要在 Spring Security 中启用新授权类型的使用，这可以通过发布以下 bean 来实现

    @Bean
    public OAuth2AuthorizedClientProvider tokenExchange() {
        return new TokenExchangeOAuth2AuthorizedClientProvider();
    }

这正是开始使用令牌交换所需的一切。但是，如果我们想要请求特定的 audience 或 resource 值，我们需要将其他参数配置为令牌请求的一部分，如下面的示例所示

    @Bean
    public OAuth2AuthorizedClientProvider tokenExchange() {
        var requestEntityConverter = new TokenExchangeGrantRequestEntityConverter();
        requestEntityConverter.addParametersConverter((grantRequest) -> {
            var parameters = new LinkedMultiValueMap<String, String>();
            parameters.add(OAuth2ParameterNames.AUDIENCE, "message-service");
            parameters.add(OAuth2ParameterNames.RESOURCE, "https://example.com/messages");

            return parameters;
        });

        var accessTokenResponseClient = new DefaultTokenExchangeTokenResponseClient();
        accessTokenResponseClient.setRequestEntityConverter(requestEntityConverter);

        var authorizedClientProvider = new TokenExchangeOAuth2AuthorizedClientProvider();
        authorizedClientProvider.setAccessTokenResponseClient(accessTokenResponseClient);

        return authorizedClientProvider;
    }

通过这种配置，我们可以在一个资源服务器中获取访问令牌，并在受保护的资源请求中将其用作另一个资源服务器的 Bearer 令牌。传递到资源服务器的 Authorization 标头中的原始载荷令牌将默认用于获取新的访问令牌。

提示：有关如何使用此配置获取访问令牌并发出受保护的资源请求的更多信息，请参阅参考文档中的 授权客户端功能。

在服务器上启用令牌交换

为了完整起见，让我们使用 Spring Authorization Server 构建一个全新的授权服务器应用程序来支持此流程。

使用带有 OAuth2 授权服务器 依赖项的 Spring Initializr，我们可以使用以下 Spring Boot 配置属性配置一个功能齐全的授权服务器

spring:
  security:
    user:
      name: sally
      password: password
    oauth2:
      authorizationserver:
        client:
          test-client:
            registration:
              client-id: test-client
              client-secret: {noop}secret
              client-authentication-methods:
                - client_secret_basic
              authorization-grant-types:
                - authorization_code
                - refresh_token
              scopes:
                - user.read
          token-client:
            registration:
              client-id: token-client
              client-secret: {noop}token
              client-authentication-methods:
                - client_secret_basic
              authorization-grant-types:
                - urn:ietf:params:oauth:grant-type:token-exchange
              scopes:
                - message.read

与客户端一样，我们可能希望支持令牌交换的特定请求参数，例如 audience 或 resource，这可以通过发布以下 bean 来实现

	@Bean
	public OAuth2TokenCustomizer<JwtEncodingContext> accessTokenCustomizer() {
		return (context) -> {
			if (AuthorizationGrantType.TOKEN_EXCHANGE.equals(context.getAuthorizationGrantType())) {
				OAuth2TokenExchangeAuthenticationToken tokenExchangeAuthentication = context.getAuthorizationGrant();
				Set<String> resources = tokenExchangeAuthentication.getResources();
				// TODO: Validate resource value(s) and map to the
				//  appropriate audience value(s) if needed...

				context.getClaims().audience(...);
			}
		};
	}

通过这种配置，授权服务器支持带有 OAuth 2.0 令牌请求的可选 resource 参数的令牌交换授权类型，并且能够发出令牌，允许资源服务器充当客户端并模拟最终用户。

结论

在这篇博文中，我们讨论了令牌交换的“模拟”用例，并探讨了资源服务器（充当客户端）和授权服务器的简单配置。

提示：有关其他示例，包括称为“委托”的其他用例示例（也受支持），请参阅 RFC 8693 的 附录 A。

我希望您像我一样对这项新的支持感到兴奋！我鼓励您尝试 Spring Authorization Server 中的 示例，其中包含这篇博文的有效示例。请在您自己的项目中尝试 Spring Security 和 Spring Authorization Server 的里程碑版本。我们期待您的反馈！