Java Spring Security OAuth2:通过 POST 接受客户端凭据

Posted

技术标签:

【中文标题】Java Spring Security OAuth2:通过 POST 接受客户端凭据【英文标题】:Java Spring Security OAuth2: Accept client credentials via POST 【发布时间】:2019-02-24 02:21:30 【问题描述】:

我有一个相当基本的 Spring Boot 设置,我已经安装了 Spring Security,并且我成功地设置了 OAuth2 来保护我的 API。

几天前我遇到了一些麻烦,asked (and answered) a question 在达到我的/oauth/token 终点时遇到了麻烦。我很快发现问题在于我试图在我的POST 请求的正文中发送我的客户端凭据,但是在 Spring Security 中配置了令牌端点以接受客户端凭据(client_idsecret)而是通过 HTTP 基本身份验证。

我使用 OAuth2 API 的大部分经验都涉及在 POST 请求的正文中发送客户端凭据,我想知道是否可以将 Spring Security 配置为以相同的方式运行?

我尝试了一些不同的方法但没有成功,比如设置以下配置选项,但我觉得这可能只在配置 OAuth2 客户端时使用:

security.oauth2.client.clientAuthenticationScheme=form

这是我的授权服务器配置。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.approval.UserApprovalHandler;
import org.springframework.security.oauth2.provider.token.TokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter 
    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private UserApprovalHandler userApprovalHandler;

    @Autowired
    @Qualifier("authenticationManagerBean")
    private AuthenticationManager authenticationManager;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception 
        clients.inMemory()
                .withClient("client_id")
                .secret("secret")
                .authorizedGrantTypes("password", "authorization_code", "refresh_token")
                .scopes("read", "write")
                .accessTokenValiditySeconds(600)
                .refreshTokenValiditySeconds(3600);
    

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception 
        endpoints.tokenStore(this.tokenStore)
                .userApprovalHandler(this.userApprovalHandler)
                .authenticationManager(this.authenticationManager);
    

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) 
        security.tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .passwordEncoder(this.passwordEncoder);
    

【问题讨论】:

查看allowFormAuthenticationForClients @chrylis 我也是,我不明白为什么。不过,我没有假设或直接问你这个问题,以防你觉得我这样做了。如果您想发布答案,我会很乐意接受。如果没有,我会自己发布一个,并为未来的访问者接受那个。 你自己写吧;我懒得解释清楚。 ;-) 【参考方案1】:

正如@chrylis 在 cmets 中指出的那样,技巧是在配置授权服务器时在AuthorizationServerSecurityConfigurer 上使用allowFormAuthenticationForClients 方法。就我而言,我的 AuthorizationServerConfig 课程中有这个:

@Override
public void configure(AuthorizationServerSecurityConfigurer security) 
    security.tokenKeyAccess("permitAll()")
            .checkTokenAccess("isAuthenticated()")
            .passwordEncoder(this.passwordEncoder)
            .allowFormAuthenticationForClients();

这将允许通过标准参数传递客户端凭据,例如在 POST 请求的正文中(或在查询字符串中),尽管 Spring 更喜欢通过将 client_idsecret 连接在一起来使用 HTTP Basic Auth使用冒号 (<client_id>:<secret>),对结果进行 base-64 编码,在其前面加上 Basic 并将其传递给 Authorization 标头,因此您最终会得到这样的结果:

Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l

【讨论】:

以上是关于Java Spring Security OAuth2:通过 POST 接受客户端凭据的主要内容,如果未能解决你的问题,请参考以下文章

具有密码授予类型的 WebClient 的 Spring Security OAuth 客户端不要求新令牌

在没有 servlet api 的 webflux 项目中使用 OAuth2 和 Spring Security OAuth2 和 reactor netty

Spring Security Java Config Preview--官方

java.security.Principal - 在 HttpServletRequest 和 Spring Security 中创建

Spring- Security :java.lang.NoClassDefFoundError: org/springframework/security/context/DelegatingApp

spring security 登陆报错java.lang.StackOverflowError: null?