堆栈内存溢出
  繁体   English   中英

WSO2 APIM - 在 JWT 负载中添加用户角色

[英]WSO2 APIM - Add user roles in JWT payload

 原文  2020-09-08 11:03:23       oauth-2.0/ jwt/ wso2/ wso2-am

问题描述

我正在开发一些通过 WSO2 APIM 公开 REST 的 SpringBoot 微服务。

微服务本身没有实现任何类型的身份验证或授权机制,它委托给 APIM。

如果我按照此处所述将 API 设置为使用密码授予,则前端应用程序可以进行身份​​验证并生成 JWT 令牌。

现在的问题是我无法从 JWT 负载中获取用户角色,因为它不是由 APIM 添加的。 此信息很重要,因为前端根据用户角色呈现菜单和按钮。

我在生成令牌时传递的用户确实有一些角色,如下所示:

在此处输入图片说明

但是生成的 JWT 令牌不包含任何有关角色的信息。 这是一个示例令牌:

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5UZG1aak00WkRrM05qWTBZemM1TW1abU9EZ3dNVEUzTVdZd05ERTVNV1JsWkRnNE56YzRaQT09In0.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.km4w2V7dGmoGl8f4_ZqKHvdofAPLOOw__GPjWKrpjYelbi7IjDIpRODEZNn8hE1krRdDTSjKRviJ-NBvXtTXIiLdfPh1p-zNtX26vrS77ZcSZ2WsQA7Ku21YMqcm6cyZvEhZ99qfTxOtbJfkwt6Yt8itkyr-aqk83pNp85LTnwtNboib9VOOvh37zNEJUImzKw4WvENp4SGLuHO978FriHyHPN9vibzPjpItW5DOXTFNdN4rP6RK_vcOH6hpuZHwivJpTHxf9qMB3Gd2yTig-Hkr-sZGbx89pQf8kqtCLWbhRG5jOtcEJNf2CSNLB0Glg_e4F6LfhVD5JUCz15jdlg

当我在https://jwt.io/ 中提取它时,我得到以下有效负载:

{
  "http://wso2.org/claims/applicationtier": "Unlimited",
  "http://wso2.org/claims/version": "v1",
  "http://wso2.org/claims/keytype": "PRODUCTION",
  "iss": "wso2.org/products/am",
  "http://wso2.org/claims/applicationname": "Cadastro de Clientes",
  "keytype": "SANDBOX",
  "http://wso2.org/claims/enduser": "emilio@carbon.super",
  "http://wso2.org/claims/enduserTenantId": "-1234",
  "http://wso2.org/claims/subscriber": "admin",
  "http://wso2.org/claims/tier": "Unlimited",
  "scope": "default",
  "exp": "1599562948028",
  "http://wso2.org/claims/applicationid": "2",
  "http://wso2.org/claims/usertype": "Application_User",
  "consumerKey": "KIi7gRMQbh59fFnjU8XMnxFroi4a",
  "http://wso2.org/claims/apicontext": "/bkng/v1"
}

如何将用户角色添加到 JWT 负载? 我是否需要按照此处所述实现自定义生成器?

提前致谢!

1 个解决方案

解决方案1
 2 已采纳  2020-09-17 06:31:42

获取包含在 auth JWT 中的角色声明的最简单方法是在服务提供者级别添加声明映射并请求具有 openid 范围的令牌。 要做到这一点,请尝试以下步骤。

  1. 登录管理控制台https://<host>:<port>/carbon

  2. 在左侧菜单中列出服务提供商

  3. 去编辑所需的服务提供者(开发者门户中的每个应用程序都有一个地图服务提供者)

  4. 将声明映射添加到role声明,如下所示在此处输入图片说明

  5. 使用scope=openid参数发送令牌请求

    curl -k -X POST https://localhost:8243/token -d "grant_type=password&username=<Username>&password=<Password>&scope=openid" -H "Authorization: Basic <Credentials>"

  6. 响应访问令牌将包含此格式的角色

    { "sub": "admin@carbon.super", "iss": "https://localhost:9443/oauth2/token", "groups": [ "Internal/subscriber", "Internal/creator", "Application/apim_devportal", "Application/admin_NewApp_PRODUCTION", "Internal/publisher", "Internal/everyone", "Internal/analytics", ], ... }

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 WSO2 身份服务器与 APIM 连接,用于用户管理 WSO2 API 经理和 WSO2 密钥经理:未验证用户角色 WSO2 APIM 3.1.0 - API 与一个用户一起运行,但不适用于具有相同角色的其他用户 将 ldap 组映射到本地 wso2 角色 如何在 oauth 令牌(WSO2 IS)中添加用户角色 如何从 wso2 IS 获取用户角色到配置为服务提供者的第三方应用程序 WSO2身份服务器JWT承载 具有OAuth2访问令牌的WSO2 JWT Exchange 如何在 WSO2 APIM 中不发送 client_secret 的情况下实现 Oauth2 WSO2 使用 OKTA 进行最终用户身份验证
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM