具有所有 4 种授权类型的 Oauth2 服务器示例

Posted

技术标签:

【中文标题】具有所有 4 种授权类型的 Oauth2 服务器示例【英文标题】:Oauth2 server example with all 4 grant types 【发布时间】:2018-08-01 10:43:33 【问题描述】:

是否可以有一个身份验证服务器来定义所有四种授权类型? 如果是,那么我该如何测试它们?授予类型密码的示例身份验证客户端会有所帮助。

【问题讨论】:

【参考方案1】:

我假设您想使用 Spring OAuth 服务器实现来实现它。 Dave Syer 的一个示例托管在 GitHub 上,它使用 JDBC 作为令牌存储。

现在,对于授权类型,您可以选择为您在 OAuth 服务器上注册的每个客户端进行配置。您会注意到它已在下面的示例中使用“authorizedGrantTypes”进行设置。

用于测试 - 使用 Postman 等 REST 客户端并调用 OAuth 服务器非常容易测试密码授予类型。

如果您需要更多帮助,请随时对此发表评论。万事如意!

资源服务器

@Configuration
@EnableResourceServer
protected static class ResourceServer extends ResourceServerConfigurerAdapter 

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources)
            throws Exception 
        resources.tokenStore(tokenStore);
    

    @Override
    public void configure(HttpSecurity http) throws Exception 
        http.authorizeRequests().anyRequest().authenticated();
    


授权服务器

@Configuration
@EnableAuthorizationServer
protected static class OAuth2Config extends AuthorizationServerConfigurerAdapter 

    @Autowired
    private AuthenticationManager auth;

    @Autowired
    private DataSource dataSource;

    private BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

    @Bean
    public JdbcTokenStore tokenStore() 
        return new JdbcTokenStore(dataSource);
    

    @Bean
    protected AuthorizationCodeServices authorizationCodeServices() 
        return new JdbcAuthorizationCodeServices(dataSource);
    

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security)
            throws Exception 
        security.passwordEncoder(passwordEncoder);
    

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints)
            throws Exception 
        endpoints.authorizationCodeServices(authorizationCodeServices())
                .authenticationManager(auth).tokenStore(tokenStore())
                .approvalStoreDisabled();
    

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception 
        // @formatter:off
        clients.jdbc(dataSource)
                .passwordEncoder(passwordEncoder)
            .withClient("my-trusted-client")
                .authorizedGrantTypes("password", "authorization_code",
                        "refresh_token", "implicit")
                .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
                .scopes("read", "write", "trust")
                .resourceIds("oauth2-resource")
                .accessTokenValiditySeconds(60).and()
            .withClient("my-client-with-registered-redirect")
                .authorizedGrantTypes("authorization_code")
                .authorities("ROLE_CLIENT").scopes("read", "trust")
                .resourceIds("oauth2-resource")
                .redirectUris("http://anywhere?key=value").and()
            .withClient("my-client-with-secret")
                .authorizedGrantTypes("client_credentials", "password")
                .authorities("ROLE_CLIENT").scopes("read")
                .resourceIds("oauth2-resource").secret("secret");
        // @formatter:on
    


【讨论】:

以上是关于具有所有 4 种授权类型的 Oauth2 服务器示例的主要内容,如果未能解决你的问题,请参考以下文章

Oauth2 授权类型和良好文档的实时示例,Oauth2 与 Spring MVC 的示例

Spring Security 和 OAuth2 生成具有自定义授权类型的令牌

OAuth2.0笔记

SPA 和 Spring Boot Rest Api 应用程序中具有授权代码授权类型的 OAuth2 流

OAuth2 RFC 6749 规范提供的四种基本认证方案

OAuth2.0和OIDC详解