Spring Oauth2 隐式流

【问题标题】:Spring Oauth2 implicit flowSpring Oauth2 隐式流
【发布时间】:2016-02-23 04:46:39
【问题描述】:

致力于使用 Spring 实现 Oauth2。我想实现隐式工作流:

我的配置文件:

@Configuration
@EnableAutoConfiguration
@RestController
public class App {

    @Autowired
    private DataSource dataSource;

    public static void main(String[] args) {
        SpringApplication.run(App.class, args);
    }

    @RequestMapping("/")
    public String home() {
        return "Hello World";
    }

    @Configuration
    @EnableResourceServer
    protected static class ResourceServer extends ResourceServerConfigurerAdapter {

        @Autowired
        private TokenStore tokenStore;

        @Override
        public void configure(ResourceServerSecurityConfigurer resources)
                throws Exception {
            resources.tokenStore(tokenStore);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            // @formatter:off
        http.authorizeRequests().antMatchers("/oauth/token").authenticated()
                .and()
                .authorizeRequests().anyRequest().permitAll()
                .and()
                .formLogin().loginPage("/login").permitAll()
                .and()
                .csrf().disable();
        }

    }

    @Configuration
    @EnableAuthorizationServer
    protected static class OAuth2Config extends AuthorizationServerConfigurerAdapter {

        @Autowired
        private AuthenticationManager auth;

        private BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

        @Bean
        public JdbcTokenStore tokenStore() {
            return new JdbcTokenStore(DBConnector.dataSource);
        }

        @Bean
        protected AuthorizationCodeServices authorizationCodeServices() {
            return new JdbcAuthorizationCodeServices(DBConnector.dataSource);
        }

        @Override
        public void configure(AuthorizationServerSecurityConfigurer security)
                throws Exception {
            security.passwordEncoder(passwordEncoder);
        }

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints)
                throws Exception {
            endpoints.authorizationCodeServices(authorizationCodeServices())
                    .authenticationManager(auth).tokenStore(tokenStore())
                    .approvalStoreDisabled();            
        }

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            // @formatter:off
            clients.jdbc(DBConnector.dataSource)
                    .passwordEncoder(passwordEncoder)
                    .withClient("my-trusted-client")
                    .secret("test")
                    .authorizedGrantTypes("password", "authorization_code",
                            "refresh_token", "implicit")
                    .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
                    .scopes("read", "write", "trust")
                    .resourceIds("oauth2-resource")
                    .accessTokenValiditySeconds(0);

            // @formatter:on
        }

    }

    @Autowired
    public void init(AuthenticationManagerBuilder auth) throws Exception {
        // @formatter:off 
        auth.jdbcAuthentication().dataSource(DBConnector.dataSource).withUser("dave")
                .password("secret").roles("USER");

        // @formatter:on
    }

}

到目前为止,这是有效的。数据库中也会生成一个用户。

问题如下。当我尝试执行以下请求时:

http://localhost:8080/oauth/token?grant_type=authorization_code&client_id=my-trusted-client&username=dave&password=secret

我总是收到一个弹出窗口(身份验证),要求我输入用户名和密码。但是我进入那里并不重要,我永远不会通过。那么那里有什么问题呢?

我想要它,当我调用这个 url 时,我可以取回我的 access_token。

【问题讨论】:

    标签: java spring spring-mvc oauth spring-security


    【解决方案1】:

    在隐式流的情况下,所有令牌都将通过授权 url 而不是令牌 url 生成。所以你应该用隐式响应类型点击 ../oauth/authorize 端点。即

    ../oauth/authorize?response_type=implicit&client_id=trusted_client&redirect_uri=<redirect-uri-of-client-application>.

    您将收到用户名密码弹出窗口,因为令牌端点已通过 spring 的 BasicAuthenticationFilter 保护,并且它希望您将 client_id 作为用户名和 client_secret 作为密码传递。您需要保护授权端点,而不是令牌端点,因此您的端点安全配置也要按照给定...

     @Override
        public void configure(HttpSecurity http) throws Exception {
            // @formatter:off
        http.authorizeRequests().antMatchers("/oauth/authorize").authenticated()
                .and()
                .authorizeRequests().anyRequest().permitAll()
                .and()
                .formLogin().loginPage("/login").permitAll()
                .and()
                .csrf().disable();
        }

    【讨论】:

    • 为什么要禁用跨站请求伪造?
    • 隐式授权流response_type 值必须设置tokenthis
    • 但是如何在没有基本身份验证的情况下获取令牌? (即使我配置了 .permitAll() ),Spring 总是抱怨:访问被拒绝(用户是匿名的)并且不生成令牌
    • response_type=implicit 不存在。而是response_type=token
    猜你喜欢
    • 2017-05-03
    • 1970-01-01
    • 2023-03-24
    • 2019-03-19
    • 2019-01-19
    • 2018-12-22
    • 1970-01-01
    • 2020-05-17
    • 2023-04-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode