Spring OAuth 2 + JWT 在访问令牌中包含附加信息
我可以在实现我自己的 TokenEnhancer 的访问令牌中包含其他信息,但此类信息包含两次.一个在编码的 access_token 中,另一个在身份验证服务器响应中. 长话短说!我请求具有正确凭据的访问令牌,并得到以下响应: {“ACCESS_TOKEN": “eyJhbGciOiJSUzI1NiJ9.eyJjbGllbnRJZCI6Ik1ZX0NVU1RPTV9JTkZPX0NMSU
..
spring-security-oauth2相关内容
使用 Active Directory 的 Azure 上 Spring OAuth2 应用程序的重定向 URL:无效的重定向 URI 参数
我正在关注 Azure 文档的以下两个教程:https://docs.microsoft.com/en-us/azure/java/spring-framework/deploy-spring-boot-java-app-with-maven-plugin它展示了如何将一个简单的 Spring Boot 应用程序部署到 Azure 和https://docs.microsoft.com/en-us
..
用户登录时的 Spring Boot 安全自定义消息
我正在尝试将 spring 安全性集成到我的 spring 启动应用程序中.一切正常,但如果帐户已过期或帐户被锁定,我该如何显示消息?另外,我不想显示基于 parm 的错误消息,例如 http://localhost:8080/login?error 这是我当前的代码:login.html 无效的用户名或密码.
登录以继续
..
Spring OAuth2 禁用 TokenEndpoint 的 HTTP 基本身份验证
我从 Spring OAuth2 开始.到目前为止一切顺利,我已经通过配置保护了我的应用程序.但是我有一个问题,我的客户端不支持 HTTP 基本授权. 有没有办法为/oauth/token 端点禁用 HTTP 基本身份验证?我想在 JSON 正文或请求标头中发送 client_id 和 client_secret. 我想要使用的 curl 示例: curl -X POST -H "C
..
Spring Boot Oauth2 扩展 DefaultTokenServices
我有一个 OAuth2 实现,对于授权类型 = 密码工作正常.现在我需要添加一个逻辑来限制相同的用户/密码组合,如果用户较早登录,则允许再次登录.为此,我研究并认为我要创建一个扩展 DefaultTokenServices 类的新类 (MyDefaultTokenService),然后在覆盖的 createAccessToken 方法中添加我的逻辑.但是由于某种原因,当我调试和测试时,我没有点击放
..
Rest,Spring 拥有 OAuth2 服务器 + OAuth2 提供商,如 Facebook、Google、Yahoo
在 Spring Boot 应用程序中,我使用 Spring Security 和 Spring OAuth2 保护了我的 Spring MVC REST 端点.我有自己的授权\资源服务器,所以为了与我们的 API 通信,客户端(AngularJS)需要从我的 API 授权服务器获取 accessToken. 一切正常,但对于我的 API 的身份验证/授权,用户需要创建他的帐户并向我们提供他
..
Spring Security OAuth2 check_token 端点
我正在尝试设置一个资源服务器以使用 spring security oauth 与单独的授权服务器一起工作.我正在使用需要 /check_token 端点的 RemoteTokenServices. 我可以看到 /oauth/check_token 端点在使用 @EnableAuthorizationServer 时默认启用.但是,默认情况下无法访问端点. 是否应该手动添加以下条目以将
..
使用 OAuth 2 进行单点注销
我们刚刚讨论了使用 OAuth 2 时的登录和注销行为.假设我们有两个 web 应用程序 A 和 B 使用一个 OAuth 提供程序 O(使用 spring-security-oauth2 堆栈构建). 当你想登录 A 时,你会被重定向到 O,输入你的凭据,在 O 上获得一个会话,重定向回来使用访问令牌到 A 并在 A 上创建会话. 现在,当您想登录 B 时,您会被重定向到 O,直接将
..
Spring Security OAuth 2.0 - 授权代码授予始终需要客户端机密
根据规范,只要请求中包含client_id和,使用授权码授予的令牌请求不需要进行身份验证code>client_id 与用于生成代码的相同.但是,使用 Spring Security OAuth 2.0 实现,即使客户端从未分配过机密,/oauth/token 端点似乎始终需要基本身份验证. 由于 ClientDetails 接口中的 isSecretRequired() 方法,看起来似乎支
..
用于服务器端 Web 应用程序的 Google Oauth2 的 CORS 问题
我在 SO 上提到了这个问题:Google oauth 400 响应:请求的资源上不存在“Access-Control-Allow-Origin"标头但建议的解决方案是针对 Javascript 网络应用使用隐式授权流程. 我的设置是这样的,我的前端构建在 angular 4 上,但我将它打包并与其余 api 一起部署在同一台服务器上.Si 我正在关注服务器端 Web 应用程序流程:http
..
Spring Oauth2.0 缺少授权类型
我使用的是 Spring Oauth 2.O. 当我将请求作为表单数据传递时,它工作正常,但是当我尝试以 application/json 格式传递数据时,它给了我缺少授权类型的错误. 请求 http://localhost:8080/oauth/token{“用户名":“parths",“密码":“123456",“grant_type":“密码"} 错误. {“状态":“0"
..
使用 OAuth2 保护 REST API:创建名为“scopedTarget.oauth2ClientContext"的 bean 时出错:范围“会话"未激活
我已经工作了几天,试图在 REST API 上实现 oauth2 保护.我已经尝试了大量不同的配置,但仍然无法使其正常工作. 我正在证明我现在拥有的代码,但我绝不同意这个实现.如果你能告诉我一些完全不同的方式来完成我想要完成的事情,那太好了. 我的流程如下所示: 客户端检查身份验证服务器,获取令牌. 客户端向资源服务器发送令牌. 资源服务器使用身份验证服务器来确保令牌有效.
..
一个应用程序中的 Spring Security OAuth2 和 FormLogin
在我的 Spring Boot 应用程序中,我有 RESTful API 和 MVC Web 仪表板用于管理. 是否可以在一个应用程序中同时拥有用于 RESTful API 的 Spring Security OAuth2 身份验证/授权(基于令牌,无状态)和用于 Spring MVC Web 仪表板的 FormLogin(有状态)? 如何使用 Spring Boot 正确配置它?
..
是否可以在没有客户端机密的情况下从 Spring OAuth2 服务器获取 access_token?
我正在使用 Spring Security 的 OAuth2 服务器实现.我正在尝试使用 OAuth2“密码"授权类型从服务器的 /oauth/token 端点获取 access_token,方法是仅提供用户名和密码以及客户端 ID,而不提供客户端密码.只要我在我的 HTTP 请求的 Authorization 标头中提供客户端 ID 和客户端密码,这就可以正常工作: curl -u clien
..
将自定义 UserDetailsService 添加到 Spring Security OAuth2 应用程序
如何将下面的自定义 UserDetailsService 添加到 这个 Spring OAuth2 示例? 默认user 和默认password 定义在application.properties 文件的authserver 应用程序. 但是,我想将以下自定义 UserDetailsService 添加到 authserver 应用程序的demo 包 用于测试目的: 打包演示
..
OAuth2 多重身份验证中的空客户端
多因素身份验证的 Spring OAuth2 实现的完整代码已上传到 一个文件共享站点,您可以点击此链接下载.下面的说明解释了如何使用该链接在任何计算机上重现当前问题.提供 500 点奖励. 当前错误: 当用户尝试在 Spring Boot OAuth2 应用程序中使用双因素身份验证进行身份验证时触发错误上一段中的链接.当应用程序应该提供第二个页面,要求用户输入 PIN 码以确认用户身
..
在 Spring Security OAuth2 (provider) 中使用作用域作为角色
让我们考虑一个相当简单的假设应用程序,用户可以在其中阅读或撰写帖子. 有些用户可以阅读和撰写文章,而有些用户只能阅读文章.使用 Spring Security (3.2.1) 我通过有 2 个角色对此进行建模: ROLE_WRITE:此角色授予用户撰写帖子的权限. ROLE_READ:此角色授予用户阅读帖子的权限. 使用 Spring 安全性实现这一点相当简单... 现在
..
对相同资源使用 Oauth2 或 Http-Basic 身份验证的 Spring 安全性
我正在尝试使用受 Oauth2 或 Http-Basic 身份验证保护的资源来实现 API. 当我加载首先对资源应用 http-basic 身份验证的 WebSecurityConfigurerAdapter 时,不接受 Oauth2 令牌身份验证.反之亦然. 示例配置:这将 http-basic 身份验证应用于所有/user/** 资源 @Configuration@EnableW
..
OAuth2RestTemplate 的 Spring Security 5 替换
在 spring-security-oauth2:2.4.0.RELEASE 类中,例如 OAuth2RestTemplate、OAuth2ProtectedResourceDetails 和 ClientCredentialsAccessTokenProvider> 已全部标记为已弃用. 从关于这些类的 javadoc 它指向一个 spring security 迁移指南 暗示人们应该迁移
..
spring security permitAll 仍在考虑在 Authorization 标头中传递的令牌,如果令牌无效则返回 401
我在我的项目中使用 spring security oauth.我通过在 spring 安全性 ResourceServerConfigurerAdapter 中配置来从身份验证中排除一些 url.我添加了 http.authorizeRequests().antMatchers(url).permitAll(). 现在,我看到的是,如果我不将 Authorization 标头传递给这些 u
..