我是否需要具有Spring Security OAuth2的资源服务器?
[英]Do I need resource server with Spring Security OAuth2?
问题描述
我正在尝试使用JWT令牌实现OAuth2身份验证。 如果我理解,我需要向授权服务器发送凭据,这将验证我的凭据,并返回签名的JWT令牌。 接下来我想实现WebSecurityConfig延伸WebSecurityConfigurerAdapter在那里,我必须设置哪些终端固定的,哪些不是。
但我的问题是:我需要资源服务器吗? 它与我潜在的WebSecurityConfig做同样的工作,不是吗?
我的目标是为我的网站创建简单的JWT身份验证。
3 个解决方案
解决方案1
6 2018-02-05 19:10:32
是的,您需要通过扩展ResourceServerConfigurerAdapter来配置受JWT保护的ResourceServerConfigurerAdapter 。 基本实现可能如下所示
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
}
这意味着您不需要扩展WebSecurityConfigurerAdapter因为上面的配置配置了您将在WebSecurityConfigurerAdapter配置的相同HttpSecurity对象。 public void configure(HttpSecurity http)在两个类中都是相同的。
我们想要通过WebSecurityConfigurerAdapter选择ResourceServerConfigurerAdapter的原因是因为它是您正在使用的spring-security-oauth2模块的一部分,并将在框架的幕后使用。
您当然需要确保为授权服务器和资源服务器使用相同的签名密钥。 如果您在同一个应用程序中定义安全配置bean,资源服务器将自动使用相同的bean,否则您将需要复制授权服务器上的任何JWT相关配置。
解决方案2
5 已采纳 2018-02-05 22:21:23
您需要资源服务器,因为它是OAuth2规范的一部分:
资源服务器
托管受保护资源的服务器,能够使用访问令牌接受和响应受保护资源请求。
因此它也是Spring Security OAuth2的一部分。
资源服务器配置不仅仅是安全配置,请参阅OAuth 2开发人员指南 :
资源服务器配置
资源服务器(可以与授权服务器或单独的应用程序相同)提供受OAuth2令牌保护的资源。 Spring OAuth提供了一个实现此保护的Spring Security身份验证过滤器。 您可以在
@Configuration类上使用@EnableResourceServer将其打开,并使用ResourceServerConfigurer配置(根据需要)。 可以配置以下功能:
- tokenServices:定义令牌服务的bean(ResourceServerTokenServices的实例)。
- resourceId:资源的id(可选,但建议由auth服务器验证,如果存在)。
- resourecs服务器的其他扩展点(例如,tokenExtractor用于从传入请求中提取令牌)
- 请求受保护资源的匹配器(默认为所有)
- 受保护资源的访问规则(默认为plain“authenticated”)
- Spring Security中HttpSecurity配置器允许的受保护资源的其他自定义
@EnableResourceServer注释会自动将类型为OAuth2AuthenticationProcessingFilter的过滤器添加到Spring Security过滤器链中。
您可以使用Spring Security配置( WebSecurityConfigurerAdapter )进行Spring Security中HttpSecurity配置器允许的受保护资源的其他自定义 ,但最好使用资源服务器配置,因为:
- encapsulation(一个类中资源服务器的所有配置)
- 配置订购(您不必更改订单)
- 复杂性(一个类而不是两个类)
这是推荐的方式。
解决方案3
4 2018-02-05 20:02:31
我将尝试回答一个例子:假设您想编写一个非常酷的Web应用程序,可以以某种方式管理GMAIL帐户以及Google日历数据。 显然,您的用户必须使用他们的Google凭据登录,以便您的应用可以获取他们的数据并对其进行管理。 您的应用程序管理用户的数据,而无需获取用户的凭据。
到现在为止还挺好。
在此示例中, 授权服务器是Google帐户。 资源服务器是Google-Main和Google-Calendar(两者都是), 客户端就是您的应用程序。
希望有道理。
Spring Boot Oauth2-授权与资源服务器之间的安全性不兼容
[英]Spring boot Oauth2 - Security incompatibility between Authorization and Resource server
在Spring Security Oauth2中使用RemoteTokenServices配置资源服务器
[英]Configuring resource server with RemoteTokenServices in Spring Security Oauth2
如何在 Spring 引导 Oauth2 资源服务器中使用密码授予处理 CORS
[英]How do I handle CORS in Spring Boot Oauth2 Resource Server with password grant
如何在Spring Boot Security OAuth2应用程序中仅对某些类启用OAuth2?
[英]How do I enable OAuth2 for only certain classes in my Spring Boot Security OAuth2 app?
Spring Security OAuth2使用主机和端口将资源服务器连接到授权服务器URL
[英]Spring Security OAuth2 connect resource server to authorization server url with host and port
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Spring Security OAuth2纯资源服务器
Spring security - oauth2 资源服务器测试
Oauth2资源服务器与Spring Security配置重叠
Spring Boot Oauth2-授权与资源服务器之间的安全性不兼容
在Spring Security Oauth2中使用RemoteTokenServices配置资源服务器
如何在 Spring 引导 Oauth2 资源服务器中使用密码授予处理 CORS
如何在Spring Boot Security OAuth2应用程序中仅对某些类启用OAuth2?
设置基于Spring安全性的OAuth2服务器
Spring Security OAuth2使用主机和端口将资源服务器连接到授权服务器URL
Spring OAuth2资源服务器的Java配置
相关标签