Sur*_*ana 1 java spring spring-security oauth-2.0 spring-boot
我已经使用spring-boot和编写了一个简单的 REST API 后端Spring REST。端点将由各种第三方应用程序使用并按预期工作。
现在我想使用 spring security 和 OAUTH 2.0 来保护这些端点。
我计划使用外部OAuth 2.0授权服务器,这样我的rest-api-backend(spring-boot 应用程序)将充当资源服务器并通过调用外部授权服务器的令牌自省端点来验证访问令牌。
每当客户端应用程序api-end-points使用授权标头中的访问令牌(使用机器到机器流中的client_credentials 授权类型从外部 authz 服务器获得的不透明承载令牌)调用 my 时,Spring 总是抛出以下错误:
{
"error": "access_denied",
"error_description": "Invalid token does not contain resource id (oauth2-resource)"
}
Run Code Online (Sandbox Code Playgroud)
经过一番研究,通过将调用应用程序的客户端 ID 设置为资源 ID 以如下方式解决了该问题:
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.tokenServices(tokenService());
resources.resourceId("5ght-6117-fdc6-8787-9017-20c784a9c03a");
// super.configure(resources);
}
Run Code Online (Sandbox Code Playgroud)
Spring 似乎aud根据资源 ID 中设置的值验证了令牌自省响应中的声明。
我无法完全理解这一点,为什么 Spring 会这样做?
作为资源服务器,它应该简单地检查访问令牌是否有效,是否具有正确的范围等。
Spring 是否维护了允许客户端的白名单?
就我而言,有多个客户端应用程序将访问rest-api-backend,那么如何存储它们的多个客户端 ID?
pom.xml
{
"error": "access_denied",
"error_description": "Invalid token does not contain resource id (oauth2-resource)"
}
Run Code Online (Sandbox Code Playgroud)
PS:我已经检查了许多关于该主题的其他类似问题,但找不到我在这里提出的问题的答案。
当客户端通过身份提供者进行身份验证时,它可以选择包含资源标识符。在身份提供者上配置客户端时,通常您可以选择要求资源标识符,如果客户端不提供资源标识符,则身份验证将失败,或者可以选择为该客户端指定默认值。
您正在构建一个资源服务器,并且可以为其分配任何标识符,只要它对于身份提供者来说是唯一的。我通常使用我的服务的 URL 作为资源标识符。有时我会创建一个 URN(例如,urn:uuid:01234567-89ab-cdef-0123-456789abcdef),当我希望在不同的 URL 中使用相同的资源标识符(就像我在我的开发、QA 和生产环境之间)但只有单一身份提供者。
听起来您的身份提供者在未提供受众时正在使用受众,这是一个合理的默认设置,因为在您的情况下,您的资源服务既是受众又是资源。然而,情况并非总是如此。
考虑 Facebook 想要访问您的 Gmail 联系人的情况。在这种情况下,Gmail 是资源,而 Facebook 是受众。作为身份提供者的谷歌将询问用户是否希望授予 Facebook 访问其联系人的权限。如果用户授予访问权限(这只发生一次),Google 将提供一个令牌。否则,认证失败。
范围是一个不同的概念。资源提供者可以决定将资源中的可用数据分解为子部分;每个小节都有一个名称(或范围)。在我们上面的例子中,Gmail 可以将联系人的数据分解为姓名、家庭住址、电话号码、电子邮件地址、推特句柄等。当用户授予 Facebook 访问他的联系人列表的权限时,他可以将 Facebook 的访问权限限制为姓名和电子邮件地址从而禁止访问联系人的家庭地址、电话号码和 Twitter 提要。由资源提供者(即您的服务)来强制执行此约束。
通过在上面的代码中将值设置为 null,可以禁用 Spring 对资源标识符的验证。这是我在 Azure Active Directory 作为我的身份提供者时使用的。
resources.resourceId(null); // Disabled since Microsoft does not support resource ids.
Run Code Online (Sandbox Code Playgroud)
| 归档时间: |
|
| 查看次数: |
1749 次 |
| 最近记录: |