oauth 令牌端点的密码

Question

我正在尝试将 OAuth 添加到我正在使用 Spring 框架开发的休息服务中。我正在使用基于注释的配置和 spring-boot 来让它运行。

我的项目中有以下课程：

@Configuration
@EnableWebSecurity
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class SecuritySettings extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin").password("123").authorities("ROLE_USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated()
            .and().httpBasic().and().csrf().disable();
    }
}

而我的授权服务器配置如下：

@Configuration
@EnableAuthorizationServer
public static class MyAuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("web")
                .authorizedGrantTypes("password")
                .authorities("ROLE_CLIENT","ROLE_TRUSTED_CLIENT","ROLE_USER")
                .scopes("read", "write")
                .resourceIds(RESOURCE_ID);
    }
 }

当我向/oauth/token/ 端点发出 GET 请求时，我被要求输入 HTTP 基本凭据。当我尝试使用admin 用户登录时，会记录以下内容

o.s.s.o.provider.endpoint.TokenEndpoint  : Handling error: NoSuchClientException, No client with requested id: admin

输入用户名web 有效，但我不知道密码。记录了默认密码，但它也不起作用。

Using default security password: f23087f8-58ce-e3d-bc62-58bf0963e75c

那么这个密码是什么？我在哪里可以找到它？如何设置？

Answer 1

您使用的 API 来自 this builder class。

客户端应用程序使用令牌端点来请求资源的访问令牌。浏览器最终用户不使用它。 OAuth2 客户端通常被分配一个“客户端密码”，它们可以用来在端点进行身份验证，通常使用基本身份验证，如 in the OAuth 2.0 spec 所述。

因此，要回答您的具体问题，您将使用构建器 API 上的“秘密”方法，并使用该值作为客户端进行身份验证：

clients.inMemory().withClient("web")
    .authorizedGrantTypes("password")
    .secret("webclientsecret")
    ...

此外，“密码”授权意味着客户端请求令牌using an end users ID and password，只是为了确保这是您真正想要的。和这里的密码问题无关。

Answer 2

这是 OAuth 访问令牌。它基于用户登录名和密码，用于访问受保护的资源。 URL“/oauth/token”用于获取访问令牌而不是可用的请求令牌。这个请求是基于 Request Token secret 进行数字签名的。

Oauth 协议以这种方式使用此访问令牌：

1. Application-Consumer 获取请求令牌。

2. 用户被重定向到服务提供商的站点并在那里授权请求令牌。 （如果通过Http basic进行授权，那么你应该添加名称为“Authorization”和值为“Basic EncodeBase64（“name:password”）”的请求头，其中EncodeBase64是一个函数，“name”和“password”是用户名和用户密码。

3. 应用-消费者在访问令牌上交换请求令牌。

4. Application-Consumer 向服务的 API 发送授权请求。

您无法在OAuth 2 Developers Guide 和Spring Social Reference 中找到更多信息

我希望你已经得到了你的问题的答案（或者更接近它）。 =)