一个人如何创建一个接受基本auth标头或oauth2访问令牌的端点?
[英]How would one create an endpoint that accepts either a basic auth header or an oauth2 access token?
问题描述
我已经使用Spring Boot安全性设置了OAuth2身份验证服务器,并且一切正常。 接下来,我要创建一个超级用户,该用户可以仅通过基本身份验证标头将请求发送到每个端点,而不会影响其他用户的身份验证流程。 Spring Boot安全性有可能吗?
谢谢克里斯
1 个解决方案
解决方案1
2 已采纳 2019-02-19 15:05:04
对的,这是可能的。
一种选择是使用ROLES,因此您可以选择哪个用户使用@Secured注释访问每个端点。
其他选项包括实现自己的过滤器以在请求之前运行。 这是一个使用JWT令牌过滤器和验证的简单示例:
public class JWTConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
@Override
public void configure(HttpSecurity http) {
JWTFilter customFilter = new JWTFilter();
http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
}
}
public class JWTFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
// Here go your implementation
String jwt = resolveToken(httpServletRequest);
if (isTokenValid(jwt)) {
Authentication authentication = getAuthenticationFromToken(jwt);
SecurityContextHolder.getContext().setAuthentication(authentication);
}
filterChain.doFilter(servletRequest, servletResponse);
}
private String resolveToken(HttpServletRequest request) {
String bearerToken = request.getHeader("YOUR-AUTHORIZATION-HEADER");
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7, bearerToken.length());
}
return null;
}
Spring OAuth2 为每个请求生成访问令牌到令牌端点
[英]Spring OAuth2 Generate Access Token per request to the Token Endpoint
如何在spring security oauth2中分离访问令牌和刷新令牌端点
[英]How to separate access token and refresh token endpoint in spring security oauth2
Spring 启动 oauth2:无 userInfo 端点 - 如何直接在客户端从 JWT 访问令牌加载身份验证(主体)
[英]Spring boot oauth2: No userInfo endpoint - How to load the authentication (Principal) from the JWT access token directly in the client
如何关闭用户会话/身份验证。 在 Spring OAuth2 中为用户/客户端发送访问令牌后的上下文
[英]How to close user session/auth. context after access token is sent for a user/client in Spring OAuth2
检索仅具有访问令牌的OAuth2身份验证流中的用户信息
[英]Retrieving user info in an OAuth2 auth flow having only an access token
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
HTTP标头中的Spring OAuth2访问令牌
Spring OAuth2 为每个请求生成访问令牌到令牌端点
如何在spring security oauth2中分离访问令牌和刷新令牌端点
Spring 启动 oauth2:无 userInfo 端点 - 如何直接在客户端从 JWT 访问令牌加载身份验证(主体)
如何关闭用户会话/身份验证。 在 Spring OAuth2 中为用户/客户端发送访问令牌后的上下文
基本身份验证 + JWT 与 Oauth2
在OAuth2中获取访问令牌
如何访问 oauth2 访问令牌和用户信息
PACT - 修改标题以包含oAuth2标记
检索仅具有访问令牌的OAuth2身份验证流中的用户信息
相关标签