Aly*_*Aly 5 spring-security-oauth2
我正在为客户端应用程序开发一个 Restful API,在资源所有者授予必要的权限后,它将访问服务器上的资源。为了实现这一目标,我计划使用 Spring Oauth2。目前,我正在请求授权。验证码。服务器并使用它来获取用于访问资源所有者的资源的令牌。例如:
1-客户端应用程序请求范围“readPhotos”,该范围映射到:/api/v1/photos
2- 资源所有者在授权服务器显示的页面上输入其凭据。
3- 授权服务器询问资源所有者是否要授予对其照片的访问权限。
4- 资源所有者批准并将授权代码传递给客户端应用程序。
5- 检索代码后,客户端应用程序将其传递给 auth。令牌的服务器。
6- 收到令牌,客户端可以访问照片。
但是,我想让客户端指定它想要请求许可的资源子集。例如,假设资源所有者在资源服务器中有“photo1”、“photo2”、“photo3”、“photo4”。使客户端应用程序请求对资源子集(例如文件“photo1、photo3”而不是整个集合)进行授权的正确方法是什么?如何进行范围定义?由于每个用户的资源会有所不同(每个用户的照片 ID 会有所不同),因此不可能使用 Spring Oauth2 的 ResourceServerConfigurerAdapter 静态定义具有单个作用域的每个资源。目前我正在使用以下照片权限配置。然而,正如我所提到的,这个范围定义过于通用,并且为整个集合提供了权限。
protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
http.requestMatchers().antMatchers(HttpMethod.GET, "/api/v1/photos").access(" #oauth2.clientHasRole('ROLE_CLIENT') and #oauth2.hasScope('readPhotos')")
访问令牌具有范围并且具有受众(一般来说)。这些是你的变量。您可能必须使用与资源相对应的范围(但我认为受众也有一定的相关性)。困难的部分是验证身份验证服务器中的范围(或受众)。实际上,我不希望身份验证服务器能够了解有关可用资源的任何信息,因此您几乎必须授予客户端请求的任何范围,这可能会破坏该对象。所以我认为底线是你需要问自己令牌是否真的是放置该信息的正确位置,除非你的示例不太现实,并且真正的用例更有趣。
或者您可以将验证范围的责任交给用户(他必须批准对单张照片的访问)。我想,这对于获得批准的资助(例如授权代码)是有效的。
| 归档时间: |
|
| 查看次数: |
1736 次 |
| 最近记录: |