OAuth2 密码授予和基本身份验证

Posted 2023-02-27

【中文标题】OAuth2 密码授予和基本身份验证

【英文标题】：OAuth2 password grant and Basic Authentication

【发布时间】：2017-09-18 01:32:14

【问题描述】：

我正在开发一种解决方案，它具有：授权服务器 (AS)、资源服务器和两个客户端。这两个客户端是：一个带有 Angular 2 的 Web 应用程序和一个带有 Angular 2 + Ionic 2 的移动应用程序。我已经开始按照这个示例开发授权服务器 https://github.com/Baeldung/spring-security-oauth

对于这两个客户端，我决定使用“密码代码授予”，因为客户端受 AS 信任。

但现在我在应用程序上存储“客户端密码”时遇到了问题。因为 API (.../oauth/token) 受到基本身份验证的保护，所以每次我向 AS 询问令牌时，我都需要发送类似的内容：

curl.exe -v -u client_id:client_secret http://localhost:8080/backend/oauth/token -d grant_type=password -d client_id=client_id -d username=admin -d password=admin

所以，问题是：

我可以在哪里安全地存储应用程序中的客户端密码？ 从 oauth API 中删除基本身份验证是否安全？ 我是否使用了其他代码授权类型？

谢谢你， 保罗

【参考方案1】：

在浏览器 (Angular) 中运行的应用程序无法保证其机密安全，因此我会选择 OAuth2 隐式流程。隐式流程需要使用 HTTPS 与您的授权服务器进行通信，因为令牌是通过网络传输的。

您不应该从令牌端点删除身份验证 - 它会危及其他流类型。例如，授权授予流程不要求客户端由 HTTPS 提供服务，并且任何人都可以看到身份验证代码，因此令牌端点机密在那里很重要（资源服务器必须使用 HTTPS 请求令牌）。

使用隐式流程，您必须检查访问令牌的有效时间，并在当前令牌过期之前请求新的令牌。例如使用prompt=none auth 请求参数。