如何在 Spring Boot 2 oauth2 中获取令牌？答案

【问题标题】：How get a token in spring boot 2 oauth2?如何在 Spring Boot 2 oauth2 中获取令牌？
【发布时间】：2019-05-12 06:59:54
【问题描述】：

我是 spring security oauth2 的新手。我想运行这个authorization server sample code。我成功运行它，为了获取令牌，我将邮递员设置如下，然后发送请求：

在这种情况下，我输入了带有密码的客户端 ID，但我想在没有它们的情况下登录。例如，我的用户发送用户名、密码和客户端 ID，然后获取令牌。但是我发送的每个请求，服务器都会返回 401 响应。在Spring boot 2 oauth 2，我该怎么做？

【问题讨论】：

请发布您的 WebSecurityConfigurerAdapter 和 AuthorizationServerConfigurerAdapter
WebSecurityConfigurerAdapter 和 AuthorizationServerConfigurerAdapter。
在此处发布您的 401 响应邮递员屏幕截图
{ "timestamp": "2018 ...", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/oauth/令牌”}
but i want to login without theme 是什么意思？

标签： java spring-boot spring-security spring-security-oauth2

【解决方案1】：

1) 要获取访问令牌，您必须使用这样的请求：

curl --user client:secret \
  -X POST http://localhost:8080/oauth/token \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=password&username=username&password=password&scope=*" \

使用 Basic Auth 和您的应用程序凭据（如果您愿意，您可以避免使用秘密）。您必须在请求正文中传递的用户名及其密码以及 grant_type 字段中的“密码”值。

作为响应，您将获得访问和刷新令牌，例如：

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImV4cCI6MTU0Nzc2NDIzOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiYzk1YzkzYTAtMThmOC00OGZjLWEzZGUtNWVmY2Y1YWIxMGE5IiwiY2xpZW50X2lkIjoiY2xpZW50In0.RWSGMC0w8tNafT28i2GLTnPnIiXfAlCdydEsNNZK-Lw",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImF0aSI6ImM5NWM5M2EwLTE4ZjgtNDhmYy1hM2RlLTVlZmNmNWFiMTBhOSIsImV4cCI6MTU0Nzc2NzcxOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiZDRhNGU2ZjUtNDY2Mi00NGZkLWI0ZDgtZWE5OWRkMDJkYWI2IiwiY2xpZW50X2lkIjoiY2xpZW50In0.m7XvxwuPiTnPaQXAptLfi3CxN3imfQCVKyjmMCIPAVM",
    "expires_in": 119,
    "scope": "*"
    "jti": "c95c93a0-18f8-48fc-a3de-5efcf5ab10a9"
}

2) 然后您可以使用该访问令牌访问您的服务器应用程序的资源。在这种情况下，您需要 Bearer Token 身份验证类型和您的访问令牌：

curl -X GET http://localhost:8080/demo \
  -H 'Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImV4cCI6MTU0Nzc2NDIzOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiYzk1YzkzYTAtMThmOC00OGZjLWEzZGUtNWVmY2Y1YWIxMGE5IiwiY2xpZW50X2lkIjoiY2xpZW50In0.RWSGMC0w8tNafT28i2GLTnPnIiXfAlCdydEsNNZK-Lw'

3) 要刷新令牌，您必须再次使用带有客户端凭据的基本身份验证，但在这种情况下，您需要 'refresh_token' 作为grant_type：

curl --user client:secret \
  -X POST http://localhost:8080/oauth/token \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'grant_type=refresh_token&scope=*&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImF0aSI6ImM5NWM5M2EwLTE4ZjgtNDhmYy1hM2RlLTVlZmNmNWFiMTBhOSIsImV4cCI6MTU0Nzc2NzcxOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiZDRhNGU2ZjUtNDY2Mi00NGZkLWI0ZDgtZWE5OWRkMDJkYWI2IiwiY2xpZW50X2lkIjoiY2xpZW50In0.m7XvxwuPiTnPaQXAptLfi3CxN3imfQCVKyjmMCIPAVM'

每次访问令牌过期时，您都必须使用第三个请求刷新它。然后您将能够再次访问资源。

其他信息

1) 我对how to build the simple OAuth2 app with JWT and custom claims的回答

2) Related demo application

3)Related Postman collection

【讨论】：

【解决方案2】：

OAuth 2.0 规范描述了客户端应用程序获取访问令牌（代表用户对客户端访问其数据的权限）的许多授权（“方法”）。

Spring OAuth2 预定义的授权类型：

ClientCredentialsTokenGranter
RefreshTokenGranter
AuthorizationCodeTokenGranter
ImplicitTokenGranter
ResourceOwnerPasswordTokenGranter（您在示例中使用的密码授予类型）

如果您想更改令牌获取逻辑，您可以使用自定义 TokenGranter。

补充：

OAuth 2 Develpers Guide

【讨论】：