堆栈内存溢出
  繁体   English   中英

Javascript WebApp 的 Spring Security Oauth2 身份验证

[英]Spring Security Oauth2 Authentication for Javascript WebApp

 原文  2018-08-21 21:12:57       java/ spring-security/ oauth-2.0/ spring-security-oauth2

问题描述

我目前正在后端开发一个带有 Spring Boot REST API 的 React WebApp。 我想使用 OAuth2 来保护 API(并提高我的知识)。 但是,我对要使用的正确身份验证流程有一些疑问。

由于前端使用 JavaScript,我不应该使用需要客户端密码的流程。

Spring 中唯一不需要客户端密钥的流是隐式流。 但是,在此流程中,Spring 不支持刷新令牌。 这意味着一段时间后,用户将自动注销并需要再次授权 WebApp。

我看到的另一个选择是创建一个没有秘密的客户端,然后使用授权代码流。 但我怀疑这是否是正确的方法。

所以我的问题基本上是:当我不希望用户在一段时间后注销时,哪个是与 Javascript 前端一起使用的最佳 OAuth2 流程?

网络安全配置

@Configuration
@EnableWebSecurity
@Import(Encoders.class)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsServiceImpl;

    @Autowired
    private PasswordEncoder userPasswordEncoder;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsServiceImpl).passwordEncoder(userPasswordEncoder);
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .formLogin().permitAll()
                .and()
                .authorizeRequests().antMatchers("/login", "/error**").permitAll()
                .anyRequest().authenticated();
    }
}

资源服务器配置

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    private static final String RESOURCE_ID = "resource-server-rest-api";
    private static final String SECURED_READ_SCOPE = "#oauth2.hasScope('read')";
    private static final String SECURED_WRITE_SCOPE = "#oauth2.hasScope('write')";
    private static final String SECURED_PATTERN = "/api/**";

    @Autowired
    private DefaultTokenServices tokenServices;

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId(RESOURCE_ID)
            .tokenServices(tokenServices)
            .tokenStore(tokenStore);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher(SECURED_PATTERN).authorizeRequests().anyRequest().authenticated();
    }
}

OAuth2Config

@Configuration
@PropertySource({"classpath:persistence.properties"})
@EnableAuthorizationServer
@Import(WebSecurityConfig.class)
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    @Qualifier("dataSource")
    private DataSource dataSource;

    @Autowired
    private UserDetailsService userDetailsServiceImpl;

    @Autowired
    private PasswordEncoder oauthClientPasswordEncoder;

    @Autowired
    private AuthenticationManager authenticationManager;


    @Bean
    public OAuth2AccessDeniedHandler oauthAccessDeniedHandler() {
        return new OAuth2AccessDeniedHandler();
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        final JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(
                new ClassPathResource("mykeys.jks"),
                "mypass".toCharArray());

        converter.setKeyPair(keyStoreKeyFactory.getKeyPair("mykeys"));
        return converter;
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        defaultTokenServices.setTokenEnhancer(accessTokenConverter());
        return defaultTokenServices;
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients().tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .passwordEncoder(oauthClientPasswordEncoder);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        final TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter()));

        endpoints
                .tokenStore(tokenStore())
                .tokenEnhancer(tokenEnhancerChain)
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsServiceImpl);
    }
}

1 个解决方案

解决方案1
 1 已采纳  2018-08-22 09:16:00

根据OAuth2 规范Implicit flow适用于 JavaScript 实现

隐式流不支持刷新令牌。 spring 实现遵循Oauth2 规范

在 Javascript 客户端实现的情况下,令牌存储在客户端上。 使用刷新令牌时,刷新令牌需要在客户端持久化,以便日后获取新的访问令牌。 如果是这种情况,您不妨发布一个长期(更)持久的访问令牌而不是刷新令牌。 在客户端工作时,使用刷新令牌没有优势。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 通过Spring Security oauth2执行认证 Spring Security OAuth2 - 如何使用 OAuth2Authentication 对象? Spring Boot Security OAuth2身份验证服务器和业务服务器的拆分 对同一资源使用 Oauth2 或 Http-Basic 身份验证的 Spring Security Spring Security OAuth2和Ldap认证到同一资源 使用JHipster,Spring Security和oauth2控制身份验证重定向 使用Spring Security在客户端身份验证上自定义OAuth2错误响应 春季安全oauth2:grant_type = password身份验证 使用 Spring 安全 OAuth2 身份验证的 Web 应用程序会话超时 <spring security>在同一应用程序中具有 OAuth2 和基本身份验证</spring>
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM