具有 2 个应用程序的 Spring security oauth2（相同的客户端 ID 和客户端密码）

Question

我创建了一个 IT 解决方案，包括：

• 包含 2 个客户端应用程序的 Angular 前端
• 2 个 API，基于 Java
• 第三方授权服务器（单点登录）

我使用 Spring security oauth2 (OIDC) 库进行身份验证。 2 个 Angular 客户端使用两个 API 并使用相同的客户端 ID 和密码。如果用户登录到第一个客户端应用程序，他们应该不是系统会提示您再次登录第二个客户端应用程序。

基本上这工作正常，但即使用户已经登录，第二个客户端应用程序也会尝试连接到授权端点。此外，当第二个客户端尝试访问授权端点时，会引发 CORS 异常。

我认为第二个客户端应该能够在不再次通过授权/令牌端点的情况下获取用户信息。上述方法是否正确？并且：我应该如何使用 Spring Security Oauth2 库处理这种情况（涉及 2 个或更多具有相同客户端 ID 和密码的客户端后端 Java 应用程序）？如何从第二个客户端应用程序获取用户信息？

当我尝试上述操作时，第二次 API 调用导致以下错误（成功登录后第一次 API 调用成功）：

Retrieving domain category:
:8082/review-web/app/home:1 Access to XMLHttpRequest at 'https://gateway.cert.auth.com/affweb/CAS/oidc/EXTERNAL_v0/**authorize?**response_type=code&client_id=596346&scope=openid%20profile%20credential_data%20email&state=wmy3woFyTjrbhyE2aHXLrpFSEnbXnUG4rcx4pdcSZso%3D&redirect_uri=https://dev.local.com:8083/core-api/app/login/oauth2/code/core-api-client&nonce=ridDePx0JMeSv4qJkvv74xkV5ev-lvVMb7inhG8wzBs' (redirected from 'https://dev.local.com:8083/core-api/app/api/all/category') from origin 'https://dev.local.com:8082' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Answer 1

OAuth2 写法：

• 授权服务器（不是身份验证）对用户进行身份验证并证明身份（发出访问、ID 和刷新令牌）
• 客户是消耗 REST 资源的一个（在您的情况下是 Angular 应用程序）
• 资源服务器提供资源（Spring 应用程序 @RestController）

我的 2 美分猜测是您使用 spring-boot-starter-oauth2-client 配置了用于 OAuth2 登录的 spring 应用程序。如果是这样，这是错误的。你应该改为：

• 从您的 Angular 应用程序验证用户并发送授权请求（使用有效的访问令牌设置 Authorization 标头）。为此，请使用 OIDC 客户端库。我最喜欢的 Angular 是angular-auth-oidc-client。
• 使用spring-boot-starter-oauth2-resource-server（不是spring-boot-starter-oauth2-client）来保护 REST API 端点。不知道怎么做的请参考this tutorials。

最后，当从富客户端验证用户时，您应该使用“公共”客户端（没有客户端机密，因为这样的客户端无法获得实际上是机密的机密）。使用的流程应该是授权码与 PKCE.