oauth2 在身份验证后返回令牌的 java* 配置是啥

Posted

技术标签:

【中文标题】oauth2 在身份验证后返回令牌的 java* 配置是啥【英文标题】:what are the java* configuration for oauth2 to return token after authenticationoauth2 在身份验证后返回令牌的 java* 配置是什么 【发布时间】:2015-03-11 19:57:33 【问题描述】:

您好,我正在为我的项目使用 Spring Boot,因此我没有将 xml 用于我的任何配置,仅使用 java。我在github上使用这个项目作为参考https://github.com/techdev-solutions/jaxenter-showcase。

当我为令牌发出请求(http://localhost:8081/oauth/authorize?client_id=web&response_type=token 在标头中带有用户名和密码)时,它返回重定向 html 站点而不是令牌。如何配置 oauth2 以在响应中返回令牌。

如果我使用 curl 发送请求,它会提供我想要的内容: curl curl:password@localhost:8081/oauth/token\?grant_type=client_credentials

如果我尝试通过 http 客户端模拟相同的请求 http://localhost:8081/oauth/token?client_secret=password&client_id=curl&grant_type=client_credentials

我得到未经授权的 401

这是我的 java 配置:

package de.techdev.jaxenter;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore;

import javax.sql.DataSource;

/**
 * @author Moritz Schulze
 */
@Configuration
@EnableAuthorizationServer
public class OAuthConfiguration extends AuthorizationServerConfigurerAdapter 

    @Autowired
    private DataSource dataSource;

    @Bean
    public TokenStore tokenStore() 
        return new JdbcTokenStore(dataSource);
    

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception 
        endpoints.tokenStore(tokenStore());
    

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception 
        clients.inMemory()
        .withClient("curl") //curl curl:password@localhost:8081/oauth/token\?grant_type=client_credentials
        .authorities("ROLE_ADMIN")
        .resourceIds("jaxenter")
        .scopes("read", "write")
        .authorizedGrantTypes("client_credentials")
        .secret("password")
        .and()
        .withClient("web") //http://localhost:8081/oauth/authorize?client_id=web&response_type=token
        .redirectUris("http://github.com/techdev-solutions/")
        .authorities("ROLE_ADMIN")
        .resourceIds("jaxenter")
        .scopes("read, write")
        //.authorizedGrantTypes("implicit")
        .authorizedGrantTypes("implicit","client_credentials")
        .autoApprove(true)
        .secret("password")
        .and()
        .withClient("my-trusted-client")
            .authorizedGrantTypes("password","authorization_code","refresh_token","implicit","redirect")
            .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
            .scopes("read", "write", "trust")
            .redirectUris("http://localhost:8080")
            .authorizedGrantTypes("implicit")
            .accessTokenValiditySeconds(60)
            .refreshTokenValiditySeconds(30);
    


package de.techdev.jaxenter;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author Moritz Schulze
 */
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter 

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        auth.inMemoryAuthentication()
            .withUser("John").roles("ADMIN").password("password")
            .and()
            .withUser("Mary").roles("BASIC").password("password");
    

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        http.authorizeRequests().antMatchers("/**").authenticated()
            .and().httpBasic().realmName("OAuth Server");

还发现了一篇有类似问题但未解决的帖子 Spring Security OAUTH2 getting token with username/password

【问题讨论】:

【参考方案1】:

首先你必须提供授权类型

http://username:password@url.com 格式几乎不再被支持, https://code.google.com/p/chromium/issues/detail?id=82250#c7 所以你的问题可能是向授权服务器传递凭据,这是浏览器问题而不是 Oauth 的配置,我不确定你为什么要直接在 Web 浏览器中访问 /oauth/token,如果你正在登录spring 应用程序你有一堆 Oauth restTemplates,它们在这种情况下工作得很好,oauth 不仅仅是任何基本的登录功能,它允许一个服务器使用令牌与其他服务器建立连接并使用它的资源,如果你想登录直接使用网络浏览器进入该服务器,您应该提供这样做的方法

例如,如果您已经使用 curl 获取令牌并尝试访问资源,您可以尝试在 Web 浏览器中传递它,因为您不再需要身份验证,只需添加 Bearer e2cb0291-596c-48e0-8e93-2b29b2881406(示例令牌)作为标题,这次它会起作用

【讨论】:

以上是关于oauth2 在身份验证后返回令牌的 java* 配置是啥的主要内容,如果未能解决你的问题,请参考以下文章

如何基于使用 Oauth2 协议的身份验证改进 JWT 访问令牌和刷新令牌?

使用不记名令牌/OAuth2 的 Azure Functions 根 URL 身份验证

Spring OAuth2刷新令牌刷新访问令牌后更改

具有服务器到服务器身份验证的 Google OAuth2 返回“invalid_grant”

是否可以在 Spring Security 中仅使用刷新令牌请求访问令牌 oauth2?没有基本身份验证?

刷新的 OAuth2 令牌具有无效签名 (Azure AD OAuth2)