客户端密码+在spring oauth2中刷新访问令牌

Question

我使用 Spring Boot 作为后端，Android 设备作为我系统的前端。 现在我面临着使用 Spring-OAuth2 来保护我的资源服务器的挑战。
我有一些问题想和你讨论：
我的知识 + this tutorial 说我应该为我的移动应用程序使用 OAuth2.0“密码”授权类型来获取访问令牌。官方spring tutorial for security给出了如何使用password grant type获取access token的例子：

$ curl client:secret@localhost:8080/oauth/token -d grant_type=password -d username=user -d password=pwd

这是我的第一个问题：是否有可能在不发送“客户端密码”的情况下使用密码授予类型获取访问令牌？
由于可以通过反编译客户端应用程序来“逆向工程”客户端密码。获取没有秘密的访问令牌应该是可能的，因为适用于 Android 的 Facebook SDK 也不需要移动应用程序中的 client_secret。
我想这里我有点理解为什么clientID + clientSecret需要包含在上面的请求中，因为，既然已经包含了用户名+密码，应该可以生成访问令牌，那么这是否带来了一个next安全级别？它是否暗示以下（示例）：我在我的 Android 客户端中以 Filip 身份登录，并且我将访问令牌 A 与每个请求一起发送到服务器。然后我以 Filip 身份登录到 Web 客户端并尝试使用访问令牌 A 从 Web 客户端访问资源服务器，这是不可能的，因为访问令牌 A 仅针对 Android 客户端发布？

下一个问题是如何刷新获得的访问令牌？
我试图使用下面的命令这样做，但我得到“访问此资源需要完全身份验证”。获得新的刷新令牌后，我可以使用刷新令牌再次刷新我的新访问令牌吗？

curl -v --data "grant_type=refresh_token&client_id=acme&client_secret=acmesecret&refresh_token=REFRESH_TOKEN" http://localhost:9999/uaa/oauth/token

谢谢

Answer 1

OAuth 2.0 规范允许所谓的公共客户端，即不进行身份验证的客户端。因此，可以将资源所有者密码凭据授予与公共客户端一起使用，即不需要发送客户端密码的客户端。这确实意味着授权服务器不能对客户端进行任何假设，因为 client_id 不是秘密，并且无法阻止使用此授权类型的恶意客户端或客户端相互模仿。因此，以这种方式使用它是以降低安全性为代价的，尽管有人可能会争辩说，在您的情况下，无论如何都无法使用机密客户端，所以没有区别。

一般来说，授予资源所有者密码凭据是 OAuth 的反模式，仅用于迁移目的，因为它本身违背了 OAuth 的大部分目标。

访问令牌是针对每个客户端颁发的。

您的刷新令牌请求似乎没问题，但考虑到您对原始访问令牌请求执行了相同操作，授权服务器可能需要基本身份验证而不是提供 client_id/client_secret 作为发布参数。