-1

我有一个在本地运行的 openid 提供程序(openam)。我使用的是自签名证书,jwks url 是 @ https://localhost:8443/openam/oauth2/connect/

由于 ssl 证书是自签名的,当解码 oidc 令牌时,我收到 SSLHandshake 异常。我尝试通过创建自定义 JwtDecoder 使用自定义休息模板(如https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2resourceserver-jwt-decoder-dsl中所建议)

@Bean
public JwtDecoder jwtDecoder() {
NimbusJwtDecoder.withJwkSetUri("https://localhost:8443/openam/oauth2/connect").restOperations(myCustomRestTemplateThatAllowsSelfSignedCerts()).build();
}

但是这个解码器好像没有用。OidcIdTokenDecoderFactory 用于创建解码器。这个类似乎不允许我们传入自定义的 jwtDecoder..

为什么 oauthResourceServer().jwt().decoder(customDecoder()) 不起作用?如何让解码器与带有自签名证书的网站的 jwks uri 一起使用?

我正在考虑的一种选择是将自签名证书添加到我的 jdk 的 cacerts 文件夹中。

4

1 回答 1

2

OAuth2LoginAuthenticationFilter正在调用OidcAuthorizationCodeAuthenticationProviderOpenID 身份验证。要更改JwtDecoder它使用的,你应该有一个JwtDecoderFactorybean。

例如,您可能有类似的东西:

@Bean
public JwtDecoderFactory<ClientRegistration> customJwtDecoderFactory() {
    return new CustomJwtDecoderFactory();
}

static class CustomJwtDecoderFactory implements JwtDecoderFactory<ClientRegistration> {
    public JwtDecoder createDecoder(ClientRegistration reg) {
        //...

        return new CustomJwtDecoder();
    }
}

希望这至少可以回答您的部分问题。

于 2020-01-15T17:04:49.490 回答