[英]Invalid access token on accessing unsecured resource oauth2
我已經通過大量的努力在應用程序中實現了spring-security-oauth2。 而且一切正常。 僅使用授權令牌訪問資源。 但是,當我嘗試使用Authorization Header訪問不安全的資源時,它將驗證訪問令牌。
如果訪問令牌有效,那么它的工作權限正確,但是如果訪問令牌無效,則會顯示錯誤Invalid access_token
錯誤。
除非用戶明確指定允許UR1訪問,否則Spring安全性將攔截每個請求並檢查access_token的有效性。 就像如果您不想截取網址格式並檢查身份驗證,那么代碼就像
<http ...>
<intercept-url pattern="/app/**" access="IS_AUTHENTICATED_FULLY" />
<intercept-url pattern="/oauth2/resource/**" access="ROLE_USER" />
</http>
但是,如果您想在沒有任何安全性的情況下訪問資源,則可以執行以下操作:
<http pattern="/resources/**" security="none"/>
希望這能解決您的問題
您必須在OAuth配置文件中配置HTTP模式。 檢查是否用“ *”配置URL
<http pattern="/detail/**" create-session="never"
entry-point-ref="oauthAuthenticationEntryPoint"
xmlns="http://www.springframework.org/schema/security">
<anonymous enabled="false" />
<!-- intercept-url pattern -->
<intercept-url pattern="/detail/**" access="IS_AUTHENTICATED_FULLY" />
<custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
<access-denied-handler ref="oauthAccessDeniedHandler" />
</http>
例如,在上面的配置中,我已使所有以“詳細信息”開頭的API安全。 您可能在不知不覺中/無意中使API安全。 確保您沒有!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.