自定义 oath2 令牌请求以接受额外数据
我正在使用具有弹簧安全性的球衣和 spring-oauth2.我的应用程序在端点“/oauth/token"上运行良好. 我想更改端点以接受更多数据.要求是,我想向令牌 API 发送更多详细信息(即设备详细信息操作系统、手机/平板电脑/网络等).因此,我想覆盖端点,如果身份验证成功,我想将该额外信息存储在数据库中. 我找不到与以这种方式更改 API 相关的任何内容.有人可以帮忙吗?
..
spring-security-oauth2相关内容
使用 OAuth2 从 Spring Security 自定义身份验证错误
我想知道是否可以自定义以下授权错误: {“错误":“未经授权","error_description": "访问此资源需要完整身份验证"} 当用户请求没有权限时我得到它.而且我想将其自定义为与 Spring Boot 错误非常相似: {“时间戳":1445441285803,“状态":401,"错误":"未经授权","message":"凭据错误",“路径":“/oauth/令牌"} 有可
..
Spring oauth2 范围与权限(角色)
我正在使用 Spring Security OAuth2,目前实现了 client_credentials 和密码授权类型.我注意到一个客户既有范围又有权限.有人可以解释一下有什么区别吗?更具体地说,我正在使用 JDBCTokenStore 并且数据库模式有一个 oauth_client_details 表. 还有, 在 oauth_client_details 表中,我不确定以下字段
..
Spring OAuth2.0:根据客户端 ID 获取用户角色
我为我的 oauth2 身份验证服务器注册了多个客户端.假设 user1 对于 client1 具有诸如 ROLE_A、ROLE_B 之类的角色,同一用户具有诸如 之类的角色client2 的 ROLE_C、ROLE_D.现在,当用户使用 client1 或 client2 登录时,他可以看到所有四个角色,即.ROLE_A、ROLE_B、ROLE_C 和 ROLE_D. 我的要求是当 use
..
Spring Security OAuth2,它决定了安全性?
我一直在尝试使用 Dave Syer 的指南并从 JHipster 获得一些灵感来实现 OAuth2 身份验证服务器.但我无法弄清楚它们是如何协同工作的. 当我使用 ResourceServerConfigurerAdapter 时,使用 WebSecurityConfigurerAdapter 的安全设置似乎被覆盖了. @Configuration@EnableResourceServe
..
独立 Spring OAuth2 JWT 授权服务器 + CORS
所以我从 这个例子来自 Dave Syer @SpringBootApplication公共类 AuthserverApplication {公共静态无效主(字符串 [] args){SpringApplication.run(AuthserverApplication.class, args);}/* 稍后添加@配置@Order(Ordered.HIGHEST_PRECEDENCE)受保护的静
..
Grails 3.x 中应该使用 Spring Sec OAuth 的哪个插件/模块?
我正在尝试将我的 Grails 2.5 项目迁移到 Grails 3.1.4.在我的旧 BuildConfig 中,我使用了以下内容: 插件{编译 ':spring-security-core:2.0-RC5'编译 ':spring-security-oauth:2.1.0-RC4'编译 ':spring-security-oauth-facebook:0.2'编译 ':spring-secur
..
Istio Service Mesh Security with AuthorizationPolicy &请求认证
使用 kyecloak 的身份验证没有按预期工作,它已被使用 Istio 与 Keycloak.配置的 Istio 组件:Gateway、Virtualservice、AuthorizationPolicy、RequestAuthentication 使用有效令牌:401 Jwt 颁发者未配置 ISTIO 安全配置: ---kubectl apply -f -
..
如何在 Spring Boot/Spring Security 中允许用户只访问他们自己的数据?
我有一些像这样的休息 api: /users/{user_id}/users/{user_id}/orders/users/{user_id}/orders/{order_id} 我必须如何保护它们?每个用户只能看到她/他的数据,但管理员可以看到所有数据. 如何&我必须在 Spring Security 中实现的是,Id == 1 的用户无法看到 Id == 2 的用户数据,反之亦然,期
..
Spring Boot OAuth2 单点注销(注销)
我正在考虑将 OAuth2 用于我的应用程序.我正在尝试实现的架构如下: 我将拥有自己的(并且只有这个)授权服务器 一些资源应用程序使用授权服务器验证对其资源的访问 某些客户端应用(网络、移动)会将用户重定向到授权服务器进行身份验证,并在成功后使用资源应用上的 API. 到目前为止,我已经设法在 3 个基本应用程序(1 个身份验证服务器、1 个资源服务器和 1 个客户端)之间实现了
..
我可以在发布访问令牌时包含用户信息吗?
我在一些 oauth2 实现中看到了有关授权服务器在发出访问令牌时返回的响应的附加信息.我想知道是否有办法使用 spring-security-oauth2 来实现这一点.我希望能够在访问令牌响应中包含一些用户权限,以便我的消费应用程序不需要管理用户权限,但仍然可以在他们自己的安全上下文中设置用户并应用他们自己的任何 spring-security检查. 如何获取有关访问令牌响应的信息?
..
Spring Security 5:没有为 id“null"映射的 PasswordEncoder
我正在从 Spring Boot 1.4.9 迁移到 Spring Boot 2.0 以及 Spring Security 5,我正在尝试通过 OAuth 2 进行身份验证.但我收到此错误: java.lang.IllegalArgumentException:没有为 id“null"映射的 PasswordEncoder 来自Spring Security 5,我知道了更改密码的存储
..
覆盖 JWT OAuth 令牌的 UserAuthenticationConverter
我正在尝试创建一个使用 oauth2 保护的 spring 资源服务器. 我将 auth0 用于我的 auth2 服务,并且我有一个配置了范围的 API 和客户端. 我有一个主要工作的资源服务器.它是安全的,我可以使用 @EnableGlobalMethodSecurity 和 @PreAuthorize("#oauth2.hasScope('profile:read')") 来限制对
..
如何使用 RemoteTokenService?
我有一个使用 Spring-Security-oauth2 构建的单独的 ResourceServer.这是代码 RemoteTokenService. @Bean公共资源服务器令牌服务令牌服务(){RemoteTokenServices tokenServices = new RemoteTokenServices();tokenServices.setClientId("sample_tes
..
Spring OAuth2 - 没有客户端身份验证.尝试添加适当的身份验证过滤器
我们有一个使用 spring-security-oauth2:1.0 的应用程序.我试图将其更改为更新版本 spring-security-oauth2:2.0.7.RELEASE.删除了一些类,更改了一些包结构,我设法解决了所有这些问题,并且能够毫无问题地启动服务器.但是我在这里遇到了一个奇怪的问题. 使用OAuth2 - 1.0 版本,当用户登录时,我们曾经在/oauth/token上做
..
在 Spring Security OAuth2 的用户名-密码授权中使用刷新令牌请求新的访问令牌
我们使用用户名-密码授权从我们的身份验证服务器获取访问令牌.我们希望在访问令牌过期之前使用提供的刷新令牌刷新访问令牌,直到用户注销或关闭客户端应用程序. 但是,我找不到任何有关如何发出此刷新令牌请求的示例.. 为了获得令牌,我们调用如下: curl -v --data "grant_type=password&username=user&password=pass&client_id
..
jhipster oauth:如何通过 CURL 获取 access_token
我正在尝试使用 jhipster 工具来创建一个具有 oauth2 身份验证的新项目.项目示例运行良好,我可以使用 angularjs 界面登录,但无法理解如何创建新用户,然后通过 Curl 命令行为该新用户获取访问令牌. 感谢您的帮助 解决方案 第 1 步:注册用户. 在 http://localhost:8080/#/register 注册用户并确保您可以通过网络登录界面.
..
Angular HttpClient 不发送 POST,它发送 OPTIONS
我是使用 Angular HttpClient 的新手(也会写英文) 我有一个问题,我正在尝试使用 POST 方法发送 HTTP 请求以协商 OAuth 令牌接收,但 angular 发送 OPTIONS 请求: 服务: 登录(用户名:字符串,密码:字符串){const body = `username=${encodeURIComponent(username)}&password
..
Spring Boot OAuth2,Tomcat和nginx在认证后得到错误ERR_TOO_MANY_REDIRECTS
我有一个 Spring Boot 应用程序,它使用来自 WSO2 身份服务器的 OAuth2 身份验证.当我在 Spring Tool Suit 上运行应用程序时,它可以工作,所以我可以唱歌并使用我的网站.但是当我在 Tomcat(9.0) 上运行我的应用程序时,我尝试访问一个页面,并重定向到登录页面,当我尝试登录时,我收到错误 ERR_TOO_MANY_REDIRECTS 错误示例: 当我
..
oauth2 重载用户权限
我想知道什么是最好的方法.我的场景如下: 我有单独的 oath2 服务器和资源服务器通过数据库共享身份验证信息.用户身份验证由从 AbstractUserDetailsAuthenticationProvider 扩展的提供程序进行.每当我构建 UserDetails 对象时,我都会将权限附加到该用户详细信息.问题是,对我的资源服务器的特定调用可能会更改用户权限.据我了解,UserDetai
..