- Opaque 토큰은 인가 서버에서 호스트하는 OAuth 2.0 Introspection 엔드포인트로 검증한다.
- Bearer 토큰은 리소스 서버에서 처리하는 자체 검증이라면 Opaque 토큰은 인가서버에서 처리하는 원격 검증이라고 볼 수 있다.
- 문자열 토큰을 RestTemplate를 사용해 인가 서버 엔드포인트로 요청한다.
- 토큰이 검증되면 최종 OAuth2AuthenticatedPrincipal 타입의 객체로 디코딩하여 반환한다.
- OAuth2AuthenticationPrincipal은 BearerTokenAuthentication의 Principal 속성에 저장된다.
CustomOpaqueTokenIntrospector
- OpaqueTokenIntrospector 인터페이스를 구현하여 커스텀한 구현체를 만들어 재정의 할 수 있다.
- 검증 후 리턴 타입이 OAuth2AuthenticatedPrincipal이기 때문에 인가 서버에서 받아온 클레임 정보를 활용해서 여러가지 커스텀 작업이 가능하다.
public class CustomOpaqueTokenIntrospector implements OpaqueTokenIntrospector {
private OpaqueTokenIntrospector delegate = new NimbusOpaqueTokenIntrospector("http://localhost:8080/realms/oauth2/protocol/openid-connect/introspect ", "client", "secret");
public OAuth2AuthenticatedPrincipal introspect(String token) {
OAuth2AuthenticatedPrincipal principal = this.delegate.introspect(token); // 인가서버로 부터 받은 클레임 정보를 저장하고 있다
return new DefaultOAuth2AuthenticatedPrincipal(principal.getName(), principal.getAttributes(), extractAuthorities(principal)); // 커스텀하게 권한 매핑 한다
}
private Collection<GrantedAuthority> extractAuthorities(OAuth2AuthenticatedPrincipal principal) {
List<String> scopes = principal.getAttribute(OAuth2IntrospectionClaimNames.SCOPE);
return scopes.stream().map(SimpleGrantedAuthority::new)
.collect(Collectors.toList());
}
}