-
0 votesanswersviews
从grant_type = password和grant_type = refresh_token获取的访问令牌中的用户角色(权限)存在差异
我有一个情况: 步骤1:获取访问令牌(grant_type =密码)(A1)以及刷新令牌 . (RT1) 步骤2:使用令牌(A1)访问资源(R) - 成功 第3步:撤消资源R的用户访问角色 . 步骤4:获取访问令牌(grant_type =密码)(A2)以及刷新令牌 . (RT2) 步骤5:使用令牌(A2)访问资源(R) - 失败 直到这里一切都很好 . 现在出乎意料的一部分 . 步骤6:使用RT... -
4 votesanswersviews
具有Auth Server角色的资源库服务器中的Spring引导OAuth2角色访问控制
我已经创建了一个带有spring boot的授权服务器,我想在资源服务器中使用资源所有者的角色 . 我有一个类 SecurityConfig 扩展 WebSecurityConfigurerAdapter ,我已经从mongodb检查了资源所有者的凭据以进行身份验证 . 为此,我有一个实现 AuthenticationProvider 的类 MongoAuthProvider ,我从中返回 Use... -
0 votesanswersviews
从授权服务器获取资源服务器中的用户角色
我有一个授权服务器,它根据用户名和密码从DB中获取用户详细信息以及角色 . 现在,当访问资源服务器中的受保护资源(传递access_token)时,我想基于角色授权其余调用 . 我该怎么办?因为,当我在资源服务器中检查Principal用户时,它获取默认值[ROLE_USER] //Will @preAuthorize() work here ? @RequestMapping(value=&qu... -
3 votesanswersviews
Spring Boot OAuth2具有基本身份验证和自定义UserDetailsService
我正在尝试配置能够完成基本OAuth2流的OAuth2服务器(有关示例,请参阅here) . 为长期问题道歉 我的第一次尝试是能够执行 authorization_code 流程 . 我有以下配置: @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled ... -
3 votesanswersviews
Spring Boot OAuth2手动创建新的JWT令牌
在我的Spring Boot应用程序中,我已经使用JWT令牌配置了Spring OAuth2服务器 . 此外,我添加了Spring Social配置,以便能够通过各种社交网络(如Twitter,Facebook等)对用户进行身份验证 . 这是我的 SpringSocial 配置: @Configuration @EnableSocial public class SocialConfig exte... -
2 votesanswersviews
Spring启动Openid Connect刷新令牌
我是Spring Boot和OpenID Connect的新手 . 我正在关注this文章,并成功验证了用户并在我的Spring启动应用程序中创建了会话 . 现在我不得不实现这两个要求: 如何使用刷新令牌授权类型续订访问令牌?我是否需要再写一个过滤器来检查每次令牌是否过期并更新相同的内容?在这种情况下,如何在会话中替换现有的 UsernamePasswordAuthenticationToke... -
0 votesanswersviews
Oauth2 Spring中的JWT令牌
我已经在Oauth2 Framework中实现了JWT Token . 在实现之后,我几乎没有想到任何查询,如下所示: 1 . 在JWT实现之前,每当用户访问资源服务器中具有相应访问令牌作为承载的API时,资源服务器使用 user-info-uri endpoints 检查auth服务器,如下所示 security: oauth2: resource: ... -
0 votesanswersviews
如何使用Spring Boot和LDAP构建OAuth2身份验证服务器
我正在开发Google Home Automation技能 . 部分任务是设置OAuth2服务器 . 考虑到我们已经设置了LDAP服务器,我认为这相对容易 . 我去了Spring Boot框架 . application.java @SpringBootApplication @RestController @EnableOAuth2Client @EnableAuthorizationServe... -
5 votesanswersviews
使用spring security oauth将社交登录添加到本机应用程序
我一直在关注此链接https://spring.io/guides/tutorials/spring-boot-oauth2以实现我自己的资源服务器的安全性 . 我的最终目标是使用自定义登录oauth服务器从Android应用程序访问资源服务器,我使用grant_type = password实现了 . 现在我想将Facebook等社交登录添加到同一个流程中 . 我能够轻松地使它适用于网络应用程序... -
2 votesanswersviews
如何配置Spring Boot和Spring Security以支持表单登录和Google OAuth2登录
我正准备使用Spring Security配置Spring Boot应用程序以支持两种登录机制:表单登录和Google OAuth2登录 . 我想要一个带有传统登录表单的登录页面 . 此页面还会显示“使用Google按钮验证” . 登录表单将是默认登录方法,也就是说,当尝试访问受保护资源时,login.jsp将呈现 . 在这里,用户可以单击oauth按钮 . 关键是我可以单独配置它们,无论是登录还... -
0 votesanswersviews
spring OAuth2 zuul - 访问令牌已过期,invalid_token
我有一个spring zuul OAuth2应用程序 . authServer-- OAuth2ServerConfiguration: @Configuration public class { @Bean public TokenStore tokenStore() { return new InMemoryTokenStore(); } @... -
1 votesanswersviews
当CSRF禁用时,Principal为null
我正在创建一个使用 spring-boot-starter-security 和 spring-security-oauth2 来使用Facebook登录的webapp . 为了避免在角度2中实现所有CSRF内容(因为它只是一个玩具项目),我想关闭CSRF .我已经实现了以下配置: @Configuration public class SecurityConfig extends WebSecu... -
1 votesanswersviews
usernamepasswordauthenticationfilter没有使用oauth2和formlogin在spring security中调用
尝试在spring启动应用程序中创建spring security oauth2并形成登录工作 . 我从https://github.com/spring-projects/spring-security-oauth/tree/master/samples/oauth2/sparklr获取了线索 和 https://github.com/royclarkson/spring-rest-servic... -
0 votesanswersviews
OAuth:在刷新时重新发出相同的访问令牌
我正在使用spring oauth实现一个oauth服务器 . 我注意到,如果未从令牌 endpoints 过期,spring的实现将重新发出相同的访问令牌 . 但是,在刷新访问令牌时,行为会有所不同 . 每次重新发布一个新令牌,如果我在收到有效刷新请求时重新发出相同的未过期访问令牌,是否有任何问题需要记住 . -
2 votesanswersviews
令牌过期时,Spring OAuth2重定向
我在 Spring 天努力做这件事: Redirecting to the Login page when the access token expires. 我有: 用于路由的边缘服务器(Zuul) . OAuth2授权/认证服务器 . 提供静态文件的资源服务器 . 出于特定的安全原因,我不想要任何刷新令牌,当我的TOKEN到期时我希望用户再次登录 . 在我的理解中,资源服务器应... -
5 votesanswersviews
如何将常规用户名/密码登录与第三方社交登录集成为Spring Boot Angular单页Web应用程序?
我有一个Angular Spring启动单页Web应用程序 . 该服务器还充当Auth服务器,它为角应用程序发出令牌以用于进行Restful API调用 . 我的旧登录流使用grant_type = password POST调用/ oauth / token endpoints 来获取Bearer令牌 . 代表用户的所有进一步的API调用将包括承载令牌作为“授权”http头 . 现在我需要整合社... -
0 votesanswersviews
Spring引导1.5.4 oauth2资源服务器与Spring引导1.2.4 oauth2授权服务器
我是Spring boot和Spring oauth2的新手,谷歌搜索后使用mongodb使用spring boot 1.2.4获得了一些示例 . 以下是设置: 用于授权服务器的Spring boot 1.2.4和Spring oauth2 2.0.7 资源服务器的Spring boot 1.5.4和spring oauth2 2.0.7 Resource Server的控制器代码段如... -
1 votesanswersviews
Spring Boot OAuth2资源服务器 - 调用user-info-uri或token-info-uri时出错
我尝试分别构建一个spring boot oauth2 authorzation和resource server . 要获取请求令牌的身份验证,资源服务器将调用configrued URI . security: oauth2: resource: user-info-uri: http://localhost:9999/ua... -
1 votesanswersviews
如何使用Spring Security OAuth2和MITREID Connect Introspect保护资源?
我们正在构建一个REST资源服务器(Java示例应用程序),我们计划使用MITREID Connect项目提供的RFC7662定义的身份传播机制进行保护 . 我们测试了配置方法,XML设置以及添加到资源服务器类的基于注释的设置(请参阅下面的示例代码) . 我们的测试显示了Spring Security例程的成功初始化,但是我们没有成功通过授权头触发Bearer令牌 . 请求和资源成功执行,但未进行... -
3 votesanswersviews
如何使用OAuth2获取Spring的自定义Principal对象?
我有一个Spring Boot应用程序,它使用spring-security-jwt和spring-security-oath2 . 我有一个自定义User对象扩展UserDetails和一个Custom UserDetailsService从loadUserByUsername方法返回此对象 . 但是,当我使用Authentication对象的getPrincipal方法并尝试Cast到我的自定... -
1 votesanswersviews
Spring Security OAuth2资源服务器重试/恢复
我正在使用Spring Security OAuth2(http://projects.spring.io/spring-security-oauth/docs/oauth2.html)开发资源服务器,该服务器与Authorization Server交互以检索/验证Auth令牌 . 此处使用的OAuth流程是“客户端凭据” . 当资源服务器在授权服务器之后启动时,应用程序正常工作,但是在资源服务... -
1 votesanswersviews
App Gateway和Web App的身份验证服务器通过Spring Boot共享用户群
我'm writing an App Gateway (REST-API) and a Web Application using Spring Boot. I'有一个包含用户和密码哈希的用户数据库 . 两个应用程序都将使用相同的用户数据库,因此我希望将它放在一个独立的服务中 . 我已经查看https://spring.io/guides/tutorials/spring-security-and... -
7 votesanswersviews
Spring Boot OAuth2将内部用户与Facebook / Google登录链接起来
我已经使用AngularJS前端实现了一个Spring Boot应用程序 . 还设置了用户及其权限 . 现在,我可以使用这些用户登录,并且可以很好地使用Spring安全性 . 我想将此传统登录流程转换为Facebook / Google OAuth登录流程,我希望用户使用其Facebook / Google帐户登录,并自动将其映射到其内部用户 . 这将帮助我摆脱维护这些用户的密码 . 我发现很多文...