登录
当前位置: 首页 > 知识库问答 >
问题:

Java Spring Security OAuth2:通过POST接受客户端凭据

拓拔泉
2023-03-14

我有一个相当基本的Spring Boot设置,我已经安装了Spring Security,我已经成功地设置了OAuth2来保护我的API。

几天前,我遇到了一些麻烦,问(并回答)了一个关于达到/oauth/tokenendpoint的问题。我很快发现问题在于,我试图在post请求的正文中发送客户机凭据,但令牌endpoint在Spring Security中被配置为通过HTTP Basic Auth接受客户机凭据(client_idsecret)。

我使用OAuth2 API的大部分经验都涉及在post请求的正文中发送客户机凭据,我想知道是否可以将Spring Security配置为以同样的方式运行?

我尝试了几种不同的方法,但没有成功,比如设置以下配置选项,但我觉得只有在配置OAuth2客户机时才会使用该选项:

security.oauth2.client.clientAuthenticationScheme=form

这是我的授权服务器配置。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.approval.UserApprovalHandler;
import org.springframework.security.oauth2.provider.token.TokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private UserApprovalHandler userApprovalHandler;

    @Autowired
    @Qualifier("authenticationManagerBean")
    private AuthenticationManager authenticationManager;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client_id")
                .secret("secret")
                .authorizedGrantTypes("password", "authorization_code", "refresh_token")
                .scopes("read", "write")
                .accessTokenValiditySeconds(600)
                .refreshTokenValiditySeconds(3600);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(this.tokenStore)
                .userApprovalHandler(this.userApprovalHandler)
                .authenticationManager(this.authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .passwordEncoder(this.passwordEncoder);
    }
}

共有1个答案

慕容烨
2023-03-14

正如@ChryLis在注释中指出的,在配置授权服务器时,技巧是在AuthorizationServerSecurityConfigurer上使用AllowForMauthEnticationForClients方法。在我的例子中,我在AuthorizationServerConfig类中有以下内容:

@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
    security.tokenKeyAccess("permitAll()")
            .checkTokenAccess("isAuthenticated()")
            .passwordEncoder(this.passwordEncoder)
            .allowFormAuthenticationForClients();
}

这将允许通过标准参数传递客户端凭据,例如在post请求的正文中(或在查询字符串中),尽管Spring更喜欢使用HTTP Basic Auth,方法是将client_idsecret与冒号( : )连接在一起,base-64对结果进行编码,用Basic作为前缀,并将其传递到authorization标头,因此最终将得到如下内容:

Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l
 类似资料:
  • 2.3.4 客户端凭据

    当授权范围限于客户端控制下的受保护资源或事先与授权服务器商定的受保护资源时客户端凭据可以被用作为一种授权许可。典型的当客户端代表自己表演(客户端也是资源所有者)或者基于与授权服务器事先商定的授权请求对受保护资源的访问权限时,客户端凭据被用作为授权许可。

  • Laravel Passport客户端凭据

    有人用这种方法吗?https://laravel.com/docs/5.4/passport#client-凭证授予代币 我试图使注册API只包含client_id和client_secret,我希望返回作为访问令牌、刷新令牌、过期日期,但返回www.url。com/oauth/token这是什么 有人能帮我吗?提前谢谢

  • 客户端凭据( Client Credentials)

    当客户端是资源所有者时,或者当授权范围限于受客户端控制的受保护资源时,客户端凭证可以用作授权授权。 客户端仅在客户端凭据的帮助下请求访问令牌。 客户端凭证授权流用于获取访问令牌以授权API请求。 使用客户端凭据授权,获取的访问令牌仅授予客户端应用程序搜索和获取目录文档的权限。 下图描绘了客户端凭据流。 上图所示的流程包括以下步骤 - Step 1 - 客户端使用授权服务器进行身份验证,并从令牌端点

  • 通过Twilio客户端连接两个人

    我有一个这样描述的任务: 实现调用按钮: 当点击通话图标时,first Twilio会拨打电话号码#1(管理员) 这时我想出了如何通过浏览器拨打电话号码(比如管理员可以在浏览器中拨打提供商的电话)。 但是我找不到任何信息,如何通过Twilio相应地连接人们的任务。有什么方法可以实现这个解决方案吗?

  • Spring Boot+Oauth2客户端凭据

    顺便说一句,这些微服务只会通过中间件层互相交谈,我的意思是不需要用户凭据来允许授权(用户登录过程如Facebook)。 我在Internet上寻找了一些示例,展示了如何创建一个授权和资源服务器来管理这种通信。然而,我只是找到了一些例子,解释了如何使用用户凭据(三条腿)来实现它。 有没有人有在Spring Boot和Oauth2中如何做的样例?如果有可能提供更多关于所用范围的详细信息,令牌交换将不胜

  • 客户端的Google analytics凭据

    我目前是谷歌分析API throu JavaScript的新成员。我正在实现一些图表和第一次加载,页面是重定向我到谷歌网站登录与分析帐户,然后返回到我的原始页面,刷新和图表显示。 有没有任何技巧/想法,我可以得到任何API可以解决这个问题?

相关问答

Java ServerSocket不接受通过LAN电缆连接的远程客户端的请求Azure DevOps的客户端凭据流Keycloak客户端凭据流澄清客户端无法通过SSL连接到Apache ArtemisSpotify Auth+前端JavaScript+客户端凭据流

相关文章

通过socket.id向客户端发送消息RESTEasy客户端框架身份验证凭据通过HttpClient接受所有CookieJava套接字。服务器-客户端通信Python通过websocket与js客户端通信示例分析

相关阅读

美团客户客户端二面记录腾讯客户端实习一面 | 已过 | 40minRedis客户端命令oppo 客户端一面奇安信客户端

相关工具

Instagram客户端OSCHINA WP7 客户端Socket.IO iOS 客户端OSCHINA iPhone 客户端OSCHINA Android 客户端

相关文档

网络访问保护 NAP 客户端配置精通脚本黑客通过例子学 Rust通过实例学习 C 语言Makeblock 创客平台
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.