[英]Spring Boot 2 and OAuth2 client-credentials unsupported grant type
我想使用组件中包含的Spring Security的Resource Server和Authorization Server保护我的应用程序。 所需的流程包括仅使用客户端证书授予类型,并将client_id与client_secret一起作为base64标头传递,在oauth/token端点后,应返回令牌以进一步请求。 我还在POST请求参数中包括了grant_type:client-credentials
目前,我收到错误消息: "Full authentication is required to access this resource" 。 奇怪的是,尽管我进行了配置,但Spring仍会生成随机的安全密码,这可以在控制台日志中看到。
这是我第一次使用Spring Security,所以也许我错过了什么?
下面是我的配置:
AuthorizationServerConfig :
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends
AuthorizationServerConfigurerAdapter {
@Override
public void configure(final AuthorizationServerSecurityConfigurer security) {
security
.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()");
}
@Override
public void configure(final ClientDetailsServiceConfigurer clients) throws Exception {
clients
.inMemory()
.withClient("some-client")
.authorizedGrantTypes("client-credentials")
.authorities("ROLE_CLIENT")
.scopes("read", "write", "trust")
.accessTokenValiditySeconds(3600)
.secret("somePass")
.refreshTokenValiditySeconds(24*3600);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
endpoints
.tokenStore(tokenStore())
.allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);
}
@Bean
public TokenStore tokenStore() {
return new InMemoryTokenStore();
}
}
ResourceServerConfig:
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(final HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/oauth/token", "/oauth/authorize", "/oauth/confirm_access").permitAll()
.antMatchers("/**").authenticated()
.and().httpBasic().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());
}
}
我正在使用Spring Boot 2.0.1.RELEASE和Spring Security OAuth2 2.0.14.RELEASE。 就我而言,使用InMemoryTokenStore可以与一个实例一起使用,如果一个人想要创建多个应用程序实例,最好的替代方法是什么?
当您将用户存储在内存中时,您将以纯文本格式提供密码,然后当您尝试从DelegatingPasswordEncoder检索编码器以验证找不到密码时。
您可以尝试以下更改,以便通过添加{noop}覆盖密码编码
@Override
public void configure(final ClientDetailsServiceConfigurer clients) throws Exception {
clients
.inMemory()
.withClient("some-client")
.authorizedGrantTypes("client-credentials")
.authorities("ROLE_CLIENT")
.scopes("read", "write", "trust")
.accessTokenValiditySeconds(3600)
.secret("{noop}somePass") //change here
.refreshTokenValiditySeconds(24*3600);
}
并在WebSecurityConfigurer中更改您的用户的密码。
Spring Boot 2 Spring-Security 5 OAuth2 支持 client_credentials grant_type
[英]Spring Boot 2 Spring-Security 5 OAuth2 support for client_credentials grant_type
如何在 Spring Boot Oauth2 授权服务器中 grant_type=client_credentials 时抛出错误凭据的任何异常
[英]How to throw any Exceptions for wrong credentials when grant_type=client_credentials in Spring Boot Oauth2 Authorization Server
Spring boot Oauth2 grant_type 密码总是返回 invalid_grant Bad Credentials
[英]Spring boot Oauth2 grant_type password always return invalid_grant Bad Credentials
Spring 启动 Oauth 安全性 - 客户端凭据授予类型中主体中的用户(自定义信息)信息
[英]Spring boot Oauth security - User(custom info) info in the principal in Client Credentials grant type
OAuth2客户端凭据通过Spring Boot Keycloak集成进行流动
[英]OAuth2 client credentials flow via Spring Boot Keycloak integration
如何使用Spring Boot和OAuth2示例来使用除默认值之外的密码授予凭据
[英]How to get Spring Boot and OAuth2 example to use password grant credentials other than the default
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.