Spring Security 中具有密码授予的 oAuth2 客户端

2024-04-10

我正在使用一组受 oAuth2 保护的服务。目前的工作原理如下：客户端使用用户名和密码登录。我用这些换取代币。我将令牌保留在会话中，并在每次想要调用服务时提交它。它可以工作，但问题是我完全手动执行此操作，而没有使用 Spring Security oAuth2 支持的大部分内容。它看起来是这样的：

<!-- Configure Authentication mechanism -->
<authentication-manager alias="authenticationManager">
    <authentication-provider ref="oAuth2AuthenticationProvider"/>
</authentication-manager>


<beans:bean id="oAuth2AuthenticationProvider" class="my.custom.Oauth2AuthenticationProvider">
    <beans:constructor-arg name="accessTokenUri" value="http://x.x.x.x/oauth/token"/>
    <beans:constructor-arg name="clientId" value="myClientId"/>
    <beans:constructor-arg name="clientSecret" value="myClientSecret"/>
    <beans:constructor-arg name="scope">
        <beans:list>
            <beans:value>myScope</beans:value>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>

<beans:bean id="resourceOwnerPasswordAccessTokenProvider" class="org.springframework.security.oauth2.client.token.grant.password.ResourceOwnerPasswordAccessTokenProvider"/>

如您所见，我自己创建了身份验证提供程序。它正在接受标准UsernamePasswordAuthenticationToken但正在制作我自己的扩展，以保留实际的OAuth2AccessToken以及，从而将其保留在安全上下文中。

public class Oauth2AuthenticationProvider implements AuthenticationProvider {

@Autowired
private ResourceOwnerPasswordAccessTokenProvider provider;

private String accessTokenUri;
private String clientId;
private String clientSecret;
private List<String> scope;

public Oauth2AuthenticationProvider(String accessTokenUri, String clientId, String clientSecret, List<String> scope) {
    this.accessTokenUri = accessTokenUri;
    this.clientId = clientId;
    this.clientSecret = clientSecret;
    this.scope = scope;
}

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    String username = authentication.getName();
    String password = authentication.getCredentials().toString();
    OAuth2AccessToken token = obtainToken(username, password);
    return handleLogonSuccess(authentication, token);
}

private OAuth2AccessToken obtainToken(String username, String password) {
    ResourceOwnerPasswordResourceDetails passwordResourceDetails = new ResourceOwnerPasswordResourceDetails();
    passwordResourceDetails.setUsername(username);
    passwordResourceDetails.setPassword(password);
    passwordResourceDetails.setClientId(clientId);
    passwordResourceDetails.setClientSecret(clientSecret);
    passwordResourceDetails.setScope(scope);
    passwordResourceDetails.setAccessTokenUri(accessTokenUri);
    DefaultAccessTokenRequest defaultAccessTokenRequest = new DefaultAccessTokenRequest();
    OAuth2AccessToken token;
    try {
        token = provider.obtainAccessToken(passwordResourceDetails, defaultAccessTokenRequest);
    } catch (OAuth2AccessDeniedException accessDeniedException) {
        throw new BadCredentialsException("Invalid credentials", accessDeniedException);
    }

    return token;
}

public OAuth2AccessToken refreshToken(OAuth2AuthenticationToken authentication) {
    OAuth2AccessToken token = authentication.getoAuth2AccessToken();
    OAuth2RefreshToken refreshToken = token.getRefreshToken();
    BaseOAuth2ProtectedResourceDetails resourceDetails = new BaseOAuth2ProtectedResourceDetails();
    resourceDetails.setClientId(clientId);
    resourceDetails.setClientSecret(clientSecret);
    resourceDetails.setScope(scope);
    resourceDetails.setAccessTokenUri(accessTokenUri);
    OAuth2AccessToken newToken = provider.refreshAccessToken(resourceDetails, refreshToken, new DefaultAccessTokenRequest());
    authentication.setoAuth2AccessToken(newToken);
    return newToken;
}

public boolean supports(Class<?> authentication) {
    return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
}

private Authentication handleLogonSuccess(Authentication authentication, OAuth2AccessToken token) {

    MyCustomOAuth2AuthenticationToken successAuthenticationToken = new MyCustomOAuth2AuthenticationToken(user, authentication.getCredentials(), calculateAuthorities(authentication), token);

    return successAuthenticationToken;
}

public list<GrantedAuthority> calculateAuthorities(Authentication authentication) {
        //my custom logic that assigns the correct role. e.g. ROLE_USER
}

}

如您所见，它基本上确保令牌保留在安全范围内，我可以在每次调用后端服务之前手动提取它。同样，我会在每次调用之前检查令牌的新鲜度。这很有效，但我确信我可以在 XML 中使用 Spring 的 oauth 命名空间（我没有使用 Java 配置）以更多配置、更少代码的方式实现相同的目的。我发现的大多数示例都包括 oAuth 服务器实现，我不关心它，只是让我感到困惑。

谁能帮我解决这个问题吗？

我通过浏览 Spring Security OAuth 源代码和在线找到的其他解决方案的零散部分，整合了一个类似的解决方案。我正在使用 Java Config，但也许它可以帮助您映射到 xml 配置，如下所示：

@Configuration
@EnableOAuth2Client
public class RestClientConfig {

    @Value("${http.client.maxPoolSize}")
    private Integer maxPoolSize;

    @Value("${oauth2.resourceId}")
    private String resourceId;

    @Value("${oauth2.clientId}")
    private String clientId;

    @Value("${oauth2.clientSecret}")
    private String clientSecret;

    @Value("${oauth2.accessTokenUri}")
    private String accessTokenUri;


    @Autowired
    private OAuth2ClientContext oauth2ClientContext;


    @Bean
    public ClientHttpRequestFactory httpRequestFactory() {
        return new HttpComponentsClientHttpRequestFactory(httpClient());
    }

    @Bean
    public HttpClient httpClient() {
        PoolingHttpClientConnectionManager connectionManager = new PoolingHttpClientConnectionManager();
        connectionManager.setMaxTotal(maxPoolSize);
        // This client is for internal connections so only one route is expected
        connectionManager.setDefaultMaxPerRoute(maxPoolSize);
        return HttpClientBuilder.create().setConnectionManager(connectionManager).build();
    } 

    @Bean
    public OAuth2ProtectedResourceDetails oauth2ProtectedResourceDetails() {
        ResourceOwnerPasswordResourceDetails details = new ResourceOwnerPasswordResourceDetails();
        details.setId(resourceId);
        details.setClientId(clientId);
        details.setClientSecret(clientSecret);
        details.setAccessTokenUri(accessTokenUri);
        return details;
    }

    @Bean
    public AccessTokenProvider accessTokenProvider() {
        ResourceOwnerPasswordAccessTokenProvider tokenProvider = new ResourceOwnerPasswordAccessTokenProvider();
        tokenProvider.setRequestFactory(httpRequestFactory());
        return new AccessTokenProviderChain(
                  Arrays.<AccessTokenProvider> asList(tokenProvider)
                );
    }

    @Bean
    public OAuth2RestTemplate restTemplate() {
        OAuth2RestTemplate template = new OAuth2RestTemplate(oauth2ProtectedResourceDetails(), oauth2ClientContext);
        template.setRequestFactory(httpRequestFactory());
        template.setAccessTokenProvider(accessTokenProvider());
        return template;
    }   
}

我发现的一个重要的一点是，即使对于单个提供程序，您也需要使用 AccessTokenProviderChain，否则自动令牌刷新（身份验证后）将无法工作。

要在第一个请求上设置用户凭据，您需要：

@Autowired
private OAuth2RestTemplate restTemplate;

restTemplate.getOAuth2ClientContext().getAccessTokenRequest().set("username", username);
restTemplate.getOAuth2ClientContext().getAccessTokenRequest().set("password", password);

然后您可以使用 RestTemplate 方法正常发出请求，例如：

    String url = "http://localhost:{port}/api/users/search/findByUsername?username={username}";

    ResponseEntity<User> responseEntity = restTemplate.getForEntity(
            url, User.class, 8081, username);

如果你想跟踪网络上的请求，你可以将 apache http 客户端上的日志级别设置为 DEBUG，例如使用 Spring 引导：

logging.level.org.apache.http=调试

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring Security 中具有密码授予的 oAuth2 客户端的相关文章

如何调试“com.android.okhttp”

在android kitkat中 URLConnection的实现已经被OkHttp取代如何调试呢 OkHttp 位于此目录中 external okhttp android main java com squareup okhttp 当
如何在 Java 中向时间戳添加/减去时区偏移量？

我正在使用 JDK 8 并且玩过ZonedDateTime and Timestamp很多但我仍然无法解决我面临的问题假设我得到了格式化的Timestamp在格林威治标准时间 UTC 我的服务器位于某处假设它设置为Asia Calcu
Android studio - 如何保存先前活动中选择的数据

这是我的代码片段这Textview充当按钮并具有Onclicklistner在他们当cpu1000时Textview单击它会导致cpu g1000其代码如下所示的类 public class Game 1000 extends AppC
将巨大的模式编译成Java

有两个主要工具提供了将 XSD 模式编译为 Java 的方法 xmlbeans 和 JAXB 问题是 XSD 模式确实很大 30MB 的 XML 文件大部分模式在我的项目中没有使用所以我可以注释掉大部分代码但这不是一个好的解决方案目
Runtime.exec 处理包含多个空格的参数

我怎样才能进行以下运行 public class ExecTest public static void main String args try Notice the multiple spaces in the argument Str
提供节点名或服务名，或未知 Java

最近我尝试运行我的 Java 项目每当我运行它并将其打开到我得到的服务器地址时 Unable to determine host name java net UnknownHostException Caused by java net
Spring Data JPA，对多对多实体的一个属性的更改错误地显示在共享它的所有其他实体上

当我更改实体的一个属性时使用该实体的每个其他实体也会以某种方式更改它我有三个实体如下所示学生和课程之间需要有多对多的关系课程需要和课程讲座有一对多的关系当我通过 Transactional 更改属于特定学生的课程或课程讲座时st
Java Applet 中的 Apache FOP - 未找到数据的 ImagePreloader

我正在研究成熟商业产品中的一个问题简而言之我们使用 Apache POI 库的一部分来读取 Word DOC 或 DOCX 文件并将其转换为 XSL FO 以便我们可以进行标记替换然后我们使用嵌入到 Java 程序中的 FOP 将
Akka 与现有 java 项目集成的示例

如果我已经有现有的javaWeb 应用程序使用spring and servlet容器将 Akka 集成到其中的正确方法是什么就像我将会有Actor1 and Actor2互相沟通的开始使用这些演员的切入点是什么例如 1 把它放在那
在Java中运行bat文件并等待

您可能会认为从 Java 启动 bat 文件是一项简单的任务但事实并非如此我有一个 bat 文件它对从文本文件读取的值循环执行一些 sql 命令它或多或少是这样的 FOR F x in CD listOfThings txt do
蓝牙发送和接收文本数据

我是 Android 开发新手我想制作一个使用蓝牙发送和接收文本的应用程序我得到了有关发送文本的所有内容逻辑工作但是当我尝试在手机中测试它时我看不到界面这是Main Activity Code import android sup
为什么\0在java中不同系统中打印不同的输出

下面的代码在不同的系统中打印不同的输出 String s hello vsrd replace 0 System out println s 当我在我的系统中尝试时 Linux Ubuntu Netbeans 7 1 它打印 When I
Spring Boot中ServletContext初始化后如何创建bean？

我有一个 bean 它实现 ServletContextAware 和 BeanFactoryPostProcessor 接口我需要在 ServletContext 完成初始化后将此 bean 注册到 applicationContext
将 JavaFX FXML 对象分组在一起

非常具有描述性和信息性的答案将从我这里获得价值 50 声望的赏金我正在 JavaFX 中开发一个应用程序对于视图我使用 FXML
部署 .war 时出现 Glassfish 服务器错误：部署期间发生错误：准备应用程序时出现异常：资源无效

我正在使用以下内容 NetBeans IDE 7 3 内部版本 201306052037 爪哇 1 7 0 17 Java HotSpot TM 64 位服务器虚拟机 23 7 b01 NetBeans 集成 GlassFish Serve
将 JScrollPane 添加到 JFrame

我有一个关于向 Java 框架添加组件的问题我有一个带有两个按钮的 JPanel 和一个添加了 JTable 的 JScrollPane 我想将这两个添加到 JFrame 中我可以将 JPanel 添加到 JFrame 或将 JScro
Android S8+ 警告消息“不支持当前的显示尺寸设置，可能会出现意外行为”

我在 Samsung S8 Android 7 中收到此警告消息 APP NAME 不支持当前的显示尺寸设置可能会行为出乎意料它意味着什么以及如何删除它谢谢通过添加解决supports screens 机器人 xlargeScre
列表过滤器内的 Java 8 lambda 列表

示例 JSON id 1 products id 333 status Active id 222 status Inactive id 111 status Active id 2 products id 6 status Active
Java/Python 中的快速 IPC/Socket 通信

我的应用程序中需要两个进程 Java 和 Python 进行通信我注意到套接字通信占用了 93 的运行时间为什么通讯这么慢我应该寻找套接字通信的替代方案还是可以使其更快更新我发现了一个简单的修复方法由于某些未知原因缓冲输出流似
抛出 Java 异常时是否会生成堆栈跟踪？

这是假设我们不调用 printstacktrace 方法只是抛出和捕获我们正在考虑这样做是为了解决一些性能瓶颈不堆栈跟踪是在构造异常对象时生成的而不是在抛出异常对象时生成的 Throwable 构造函数调用 fillInStack

随机推荐

使用 fnmatch.filter 按多个可能的文件扩展名过滤文件

给出以下一段 python 代码 for root dirs files in os walk directory for filename in fnmatch filter files png pass 如何过滤多个扩展名在这种特殊情
向 python 服务器添加超时时出现非阻塞错误

我正在用 python 编写一个简单的 TCP 服务器并尝试输入超时我当前的代码 import socket def connect HOST Symbolic name meaning the local host PORT 5007
我可以将 artifactId 转换为我的 Maven 原型中的类名前缀吗？

我正在创建一个 Maven 原型并在生成的项目中想要一个以生成的项目的工件 id 命名的类工件 ID 的格式如下 the project name并且该类应命名为TheProjectNameMain 我尝试在我的archetype me
将base64图像上传到亚马逊s3

我在尝试将图像上传到 AWS S3 时遇到一些问题似乎可以正确上传文件但是每当我尝试下载或预览时它都无法打开目前这是我正在使用的上传代码
Flutter Socket.listen()接收不完整数据

使用套接字接收字符串数据而且好像传输不完整服务器发送大约 80 KB flutter 套接字有时接收 1 KB 有时接收 10 KB 左右尝试了 onDone 处理程序它是相同的在接收到整个数据之前调用它我还尝试将数据分成多个部
将控制台输出重定向到单独程序中的文本框

我正在开发一个 Windows 窗体应用程序它需要我调用一个单独的程序来执行任务该程序是一个控制台应用程序我需要将标准输出从控制台重定向到程序中的文本框我从我的应用程序执行程序没有问题但我不知道如何将输出重定向到我的应用程序我需
如何查询 firestore() 的 graphQL 解析器？

我将 GraphQL 应用程序与现有的 Firebase 项目结合起来在获取查询以正确从 firestore 获取数据时遇到很多问题到目前为止我的突变工作正常但是当我去查询数据时我无法将 firestore get 快照转换为 g
html5 video safari 在播放前下载完整

我想知道为什么我的 mp4 html5 视频不是流式传输而是等到完全下载后才开始在 safari 中播放 www pija se 我已经尝试过 QTIndexSwapper 但它说索引位于正确的位置任何帮助表示赞赏看起来 MOOV
heroku 上的 Gunicorn：绑定到本地主机

我一直在关注教程https devcenter heroku com articles django declare process types with procfile https devcenter heroku com articl
替换字符串中的特定单词 (Python)

我想替换字符串句子中的单词例如 What noun is verb 用实际名词动词替换包括中的字符的正则表达式是什么您不需要为此使用正则表达式我会做 string What noun is verb print string r
Google Cloud SQL 连接到 flutter

我在互联网上呆了 3 天试图找到一些可以帮助我在 Google Cloud 和我的 flutter 应用程序上设置 PostreSQL 服务器的东西无论是文档还是互联网上的任何地方都没有关于 flutter 应用程序如何连接设置甚至在
AlarmManager 在模拟器中运行良好，但在真实设备中运行不佳

这是我设置闹钟的代码 public void SetAlarm Context context int tag long time AlarmManager am AlarmManager context getSystemService
将每 2 个 div 包裹在一个新的 div 中

假设我有这个 div class somediv div div class somediv div div class somediv div div class somediv div div class somediv div div
Qt Designer 不加载我的自定义小部件插件

我正在阅读使用 Qt4 进行 C GUI 编程一书并且已经达到了将自定义小部件与 Qt Designer 集成的主题我已经构建了那里概述的示例项目图标编辑器插件并且我得到了一个名为 libiconeditorplugin so
如何强制执行新的空 EF 迁移？

好的所以我完全依赖我的迁移和种子代码来维护所有数据库结构和初始数据因此我面临的情况是我在此版本中所做的所有更改都是直接在数据库存储过程和更新上进行的并且 C 代码本身没有任何更改问题是由于我想使用新的迁移来执行这些数据库特
生产中的 GWT 源映射

GWT 支持超级开发模式下的源映射不幸的是尽管我在 gwt xml 文件中添加了源映射选项但它们似乎无法在生产模式下工作如何在那里启用它们看看 GWT 自己的网站是如何做到这一点的 https gwt googlesource c
如何离线安装Flask？ [关闭]

Closed 这个问题需要细节或清晰度 help closed questions 目前不接受答案我已经在我的电脑上下载了 Flask 然后我就断开了连接现在我需要在没有互联网连接的情况下安装 Flask 离线安装 Flask 还需要什
Wildfly 中有多个持久单元？

Wildfly 9 0 2 应用程序中是否可以有两个持久性单元我收到 WFLYJPA0061 未指定持久性单元名称并且应用程序部署部署 jasper web war 中有 2 个持久性单元定义要么将应用程序部署更改为只有一个持久性单元
Java 中使用分隔符“.”的分词问题

我需要使用分隔符分割文本例如我想要这个字符串 Washington is the U S Capital Barack is living there 分为两部分 Washington is the U S Capital Barack
Spring Security 中具有密码授予的 oAuth2 客户端

我正在使用一组受 oAuth2 保护的服务目前的工作原理如下客户端使用用户名和密码登录我用这些换取代币我将令牌保留在会话中并在每次想要调用服务时提交它它可以工作但问题是我完全手动执行此操作而没有使用 Spring Secur

Spring Security 中具有密码授予的 oAuth2 客户端

Spring Security 中具有密码授予的 oAuth2 客户端 的相关文章

随机推荐

热门标签

Spring Security 中具有密码授予的 oAuth2 客户端的相关文章