一個人如何創建一個接受基本auth標頭或oauth2訪問令牌的端點?
[英]How would one create an endpoint that accepts either a basic auth header or an oauth2 access token?
問題描述
我已經使用Spring Boot安全性設置了OAuth2身份驗證服務器,並且一切正常。 接下來,我要創建一個超級用戶,該用戶可以僅通過基本身份驗證標頭將請求發送到每個端點,而不會影響其他用戶的身份驗證流程。 Spring Boot安全性有可能嗎?
謝謝克里斯
1 個解決方案
解決方案1
2 已采納 2019-02-19 15:05:04
對的,這是可能的。
一種選擇是使用ROLES,因此您可以選擇哪個用戶使用@Secured注釋訪問每個端點。
其他選項包括實現自己的過濾器以在請求之前運行。 這是一個使用JWT令牌過濾器和驗證的簡單示例:
public class JWTConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
@Override
public void configure(HttpSecurity http) {
JWTFilter customFilter = new JWTFilter();
http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
}
}
public class JWTFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
// Here go your implementation
String jwt = resolveToken(httpServletRequest);
if (isTokenValid(jwt)) {
Authentication authentication = getAuthenticationFromToken(jwt);
SecurityContextHolder.getContext().setAuthentication(authentication);
}
filterChain.doFilter(servletRequest, servletResponse);
}
private String resolveToken(HttpServletRequest request) {
String bearerToken = request.getHeader("YOUR-AUTHORIZATION-HEADER");
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7, bearerToken.length());
}
return null;
}
Spring OAuth2 為每個請求生成訪問令牌到令牌端點
[英]Spring OAuth2 Generate Access Token per request to the Token Endpoint
如何在spring security oauth2中分離訪問令牌和刷新令牌端點
[英]How to separate access token and refresh token endpoint in spring security oauth2
Spring 啟動 oauth2:無 userInfo 端點 - 如何直接在客戶端從 JWT 訪問令牌加載身份驗證(主體)
[英]Spring boot oauth2: No userInfo endpoint - How to load the authentication (Principal) from the JWT access token directly in the client
如何關閉用戶會話/身份驗證。 在 Spring OAuth2 中為用戶/客戶端發送訪問令牌后的上下文
[英]How to close user session/auth. context after access token is sent for a user/client in Spring OAuth2
檢索僅具有訪問令牌的OAuth2身份驗證流中的用戶信息
[英]Retrieving user info in an OAuth2 auth flow having only an access token
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
HTTP標頭中的Spring OAuth2訪問令牌
Spring OAuth2 為每個請求生成訪問令牌到令牌端點
如何在spring security oauth2中分離訪問令牌和刷新令牌端點
Spring 啟動 oauth2:無 userInfo 端點 - 如何直接在客戶端從 JWT 訪問令牌加載身份驗證(主體)
如何關閉用戶會話/身份驗證。 在 Spring OAuth2 中為用戶/客戶端發送訪問令牌后的上下文
基本身份驗證 + JWT 與 Oauth2
在OAuth2中獲取訪問令牌
如何訪問 oauth2 訪問令牌和用戶信息
PACT - 修改標題以包含oAuth2標記
檢索僅具有訪問令牌的OAuth2身份驗證流中的用戶信息
相關標簽