Java Spring Security OAuth2：通过 POST 接受客户端凭据

Question

我有一个相当基本的 Spring Boot 设置，我已经安装了 Spring Security，并且我成功地设置了 OAuth2 来保护我的 API。

几天前我遇到了一些麻烦，asked (and answered) a question 在达到我的/oauth/token 终点时遇到了麻烦。我很快发现问题在于我试图在我的POST 请求的正文中发送我的客户端凭据，但是在 Spring Security 中配置了令牌端点以接受客户端凭据（client_id 和 secret）而是通过 HTTP 基本身份验证。

我使用 OAuth2 API 的大部分经验都涉及在 POST 请求的正文中发送客户端凭据，我想知道是否可以将 Spring Security 配置为以相同的方式运行？

我尝试了一些不同的方法但没有成功，比如设置以下配置选项，但我觉得这可能只在配置 OAuth2 客户端时使用：

security.oauth2.client.clientAuthenticationScheme=form

这是我的授权服务器配置。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.approval.UserApprovalHandler;
import org.springframework.security.oauth2.provider.token.TokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private UserApprovalHandler userApprovalHandler;

    @Autowired
    @Qualifier("authenticationManagerBean")
    private AuthenticationManager authenticationManager;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client_id")
                .secret("secret")
                .authorizedGrantTypes("password", "authorization_code", "refresh_token")
                .scopes("read", "write")
                .accessTokenValiditySeconds(600)
                .refreshTokenValiditySeconds(3600);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(this.tokenStore)
                .userApprovalHandler(this.userApprovalHandler)
                .authenticationManager(this.authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .passwordEncoder(this.passwordEncoder);
    }
}

Answer 1

正如@chrylis 在 cmets 中指出的那样，技巧是在配置授权服务器时在AuthorizationServerSecurityConfigurer 上使用allowFormAuthenticationForClients 方法。就我而言，我的 AuthorizationServerConfig 课程中有这个：

@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
    security.tokenKeyAccess("permitAll()")
            .checkTokenAccess("isAuthenticated()")
            .passwordEncoder(this.passwordEncoder)
            .allowFormAuthenticationForClients();
}

这将允许通过标准参数传递客户端凭据，例如在 POST 请求的正文中（或在查询字符串中），尽管 Spring 更喜欢通过将 client_id 和 secret 连接在一起来使用 HTTP Basic Auth使用冒号 (<client_id>:<secret>)，对结果进行 base-64 编码，在其前面加上 Basic 并将其传递给 Authorization 标头，因此您最终会得到这样的结果：

Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l