Pet*_*ete 23 spring spring-security access-token oauth-2.0 spring-security-oauth2
我们使用username-password grant从我们的auth服务器获取访问令牌.我们希望使用提供的刷新令牌在访问令牌到期之前刷新访问令牌,直到用户注销或关闭客户端应用程序.
但是我找不到任何关于如何发出此刷新令牌请求的示例.
要获得令牌,我们称之为:
curl -v --data "grant_type=password&username=user&password=pass&client_id=my_client" http://localhost:8080/oauth/token
所以要刷新我希望调用看起来像这样:
curl -v --data "grant_type=refresh_token&access_token=THE_ACCESS_TOKEN&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
或者可能
curl -v -H "Authorization: Bearer THE_ACCESS_TOKEN" --data "grant_type=refresh_token&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
但它只会给我一个401 ..
哦是的,也许我需要添加clientId?我不能使用客户端密钥,因为没有(请参阅上面获取令牌的请求).毕竟使用用户名和密码进行身份验证.
我认为我们的服务器配置正确,所以我不会在这里发布.如果我的一个示例请求应该工作,并且您需要查看重要的配置部分,我将添加它们.
谢谢!
Pet*_*ete 37
正如我所说,我们不使用客户端秘密,因为我们不能在Javascript客户端应用程序中闲逛.当使用用户名密码授权时,无论如何都不需要它.(请参阅我们请求访问令牌的方式).事实上,我接近解决方案并最终弄明白:
curl -v --data "grant_type=refresh_token&client_id=THE_CLIENT_ID&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
所以不需要访问令牌或客户端密钥.
总而言之,感觉足够安全.
对于密码grant_type,需要clientId和clientSecret.第三次尝试即将结束,但是您在Authorization标头中传递Base64编码的clientId和clientSecret而不是Access Token.这是正确的刷新令牌请求:
curl -H "Authorization: Bearer [base64encode(clientId:clientSecret)]" "https://yourdomain.com/oauth/token?grant_type=refresh_token&refresh_token=[yourRefreshToken]"
如需参考,请查看:http://techblog.hybris.com/2012/06/11/oauth2-resource-owner-password-flow/
| 归档时间: |
|
| 查看次数: |
37632 次 |
| 最近记录: |