oauth2Client() - Client Credentials

스프링 시큐리티의 oauth2Login() 필터에 의한 자동 인증 처리를 하지 않고 DefaultOAuth2AuthorizedClientManager 클래스를 사용하여 Spring MVC에서 직접 인증처리를 하는 로그인 기능을 구현한다.

기본 구성

DefaultOAuth2AuthorizedClientManager : OAuth2 권한 부여 흐름 처리
LoginController : DefaultOAuth2AuthorizedClientManager를 사용해서 로그인 처리

로그인 구현 순서

DefaultOAuth2AuthorizedClientManager 빈 생성 및 파라미터 초깃값 정의
권한 부여 유형에 따라 요청이 이루어지도록 application.yml 설정 조정
/oauth2Login 주소로 권한 부여 흐름 요청
DefaultOAuth2AuthorizedClientManager 에게 권한 부여 요청
권한 부여가 성공하면 OAuth2AuthenticationSuccessHandler를 호출하여 인증 이후 작업 진행
- DefaultOAuth2AuthorizedClientManager의 최종 반환값인 OAuth2AuthorizedClient를 OAuth2AuthorizedClientRepository에 저장
OAuth2AuthorizedClient 에서 AccessToken을 참조하여 /userinfo 엔드포인트 요청으로 최종 사용자 정보를 가져온다.
사용자 정보와 권한을 가지고 인증객체를 만든 후 SecurityContext에 저장하고 인증 완료
인증이 성공하면 위 과정을 커스텀 필터를 만들어 처리하도록 한다.

예제 코드

application.yml

spring:
  security:
    oauth2:
      client:
        registration: # 클라이언트 설정
          keycloak:
            client-id: oauth2-client-app
            client-secret: 9KNAzAnHOBURT3vQHuJFkVqz468KJalY
            client-name: oauth2-client-app
            authorization-grant-type: client_credentials
            client-authentication-method: client_secret_basic
            provider: keycloak

        provider: # 공급자 설정
          keycloak:
            authorization-uri: http://localhost:8080/realms/oauth2/protocol/openid-connect/auth # OAuth 2.0 권한 코드 부여 엔드포인트
            token-uri: http://localhost:8080/realms/oauth2/protocol/openid-connect/token        # OAuth 2.0 토큰 엔드포인트
            issuer-uri: http://localhost:8080/realms/oauth2                                     # 서비스 공급자 위치
            user-info-uri: http://localhost:8080/realms/oauth2/protocol/openid-connect/userinfo # OAuth 2.0 UserInfo 엔드포인트
            jwk-set-uri: http://localhost:8080/realms/oauth2/protocol/openid-connect/certs      # OAuth 2.0 JwkSetUri 엔드포인트
            user-name-attribute: sub                                                            # OAuth 2.0 사용자명을 추출하는 클레임명

컨트롤러

@RestController
@RequiredArgsConstructor
public class LoginController {
    
   private final OAuth2AuthorizedClientManager oAuth2AuthorizedClientManager;

   @GetMapping("/credentials")
   public OAuth2AuthorizedClient credentials() {
      Authentication authentication = SecurityContextHolder.getContextHolderStrategy().getContext().getAuthentication();

      OAuth2AuthorizeRequest authorizeRequest = OAuth2AuthorizeRequest
              .withClientRegistrationId("keycloak")
              .principal(authentication) //anonymous
              .build();

      OAuth2AuthorizedClient authorizedClient = oAuth2AuthorizedClientManager.authorize(authorizeRequest);
      return authorizedClient;
   }
}

클라이언트 자격 증명 승인 방식은 사용자 정보를 제공하지 않기 때문에 클라이언트 정보만 인가 서버에 보내면 되는 방식이다.
OAuth2AuthorizedClient로 사용자 정보를 얻어 인증 처리를 할 필요가 없다. (사용자 정보를 얻고 SecurityContext에 저장하는 등)