Spring Security OAuth2-如何根据客户端ID限制对API的访问? [英] Spring Security OAUTH2 - How to restrict access to APIs based on client ID?
本文介绍了Spring Security OAuth2-如何根据客户端ID限制对API的访问?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
您好,我是Spring Security的新手。 我有一个带有几个端点的控制器。这些终结点来自资源服务器。
POST /secured/user/create
POST /secured/user/update
GET /secured/user/{id}
在访问这些API之前,客户端必须从我的授权服务器获取一个令牌,然后在调用上面的API时使用它。但是,我希望根据用户的客户端ID限制用户只能访问GET API。客户端应该不能调用创建或更新API。
有没有办法做到这一点?以及如何用代码实现这一点?我假设以下情况
- 必须在授权服务器的JWT令牌中添加一些内容。我在猜测范围?
- 当命中资源服务器的接口时,会对令牌进行验证。如果作用域不允许该接口,则服务器将返回未经授权的HTTP 401
任何资源或链接都将不胜感激!
推荐答案
- 您可以配置授权服务器以向令牌添加任何声明,您最终将需要这些声明来正确授权请求。这可以是作用域声明、客户端ID声明或更细粒度的声明,如
can_read_user_data: true。
您可以在以下文章中阅读关于声明、作用域、它们之间的关系以及关于作用域和声明的一些最佳实践:https://curity.io/resources/claims/
- 您可以阅读本文,了解如何在Spring中实现JWT声明的验证:https://curity.io/resources/tutorials/howtos/writing-apis/spring-boot-api/
这篇关于Spring Security OAuth2-如何根据客户端ID限制对API的访问?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
