那些遇到过的问题

Spring 5 中机密客户的 PKCE(非反应式)

bra*_*ley 1 servlets oauth-2.0 spring-boot pkce

我正在尝试在 Spring Boot 5 中的 oAuth 客户端上启用 PKCE。我可以找到的示例适用于反应式客户端,如下所示:

SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http,    ReactiveClientRegistrationRepository clientRegistrationRepository) {
        DefaultServerOAuth2AuthorizationRequestResolver pkceResolver = new DefaultServerOAuth2AuthorizationRequestResolver(clientRegistrationRepository);
        pkceResolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce());

http.oauth2Login(login -> login
    .authorizationRequestResolver(pkceResolver)
Run Code Online (Sandbox Code Playgroud)

我尝试将其转换为等效的 servlet,但 oAuthLoginConfigurer 没有authorizationRequestResolver设置 PKCE 解析器的方法。

这就是我要做的:

  @Bean
  public SecurityFilterChain filterChain(HttpSecurity http
          ,ClientRegistrationRepository repo
  ) 
  throws Exception {

    var resolver = new DefaultOAuth2AuthorizationRequestResolver(repo,"https://myoauthserver.com");
    resolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce());
    
    http
        .authorizeRequests(a -> a
            .antMatchers("/").permitAll()
            .anyRequest().authenticated())
        .oauth2Login(); // doesn't have the authorizationRequestResolver method like reactive



    return http.build();
  }
Run Code Online (Sandbox Code Playgroud)

有什么想法可以让 servlet 工作吗?

bra*_*ley 8

好吧,我已经想通了,我想我最好不要把这个问题留给将来可怜的灵魂(即当我忘记它是如何工作的时候的我)。

这是魔豆:

@Configuration
public class SecurityConfiguration {

  @Bean
  public SecurityFilterChain filterChain(HttpSecurity http, ClientRegistrationRepository repo)
      throws Exception {

    var base_uri = OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI;
    var resolver = new DefaultOAuth2AuthorizationRequestResolver(repo, base_uri);

    resolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce());

    http
        .authorizeRequests(a -> a
            .antMatchers("/").permitAll()
            .anyRequest().authenticated())
        .oauth2Login(login -> login.authorizationEndpoint().authorizationRequestResolver(resolver));

    http.logout(logout -> logout
        .logoutSuccessUrl("/"));

    return http.build();
  }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

557 次

最近记录:

1 年,8 月 前
相关归档
NoUniqueBeanDefinitionException:没有定义[javax.persistence.EntityManagerFactory]类型的限定bean:期望的单个匹配bean 10
Intellij IDEA 错误 - 无法自动装配。未找到“HttpSecurity”类型的 bean 8
HttpServletRequest#getRemoteAddr()返回NULL 7
使用twitter获取持有者令牌 7
Reactjs Axios/Spring启动安全性 5
DynamoDB Spring Boot数据休息"PersistentEntity不能为空!" 5
如果令牌静态保存,Spring Vault 的意义何在? 4
具有异步servlet 3.0的GWT请求构建器 3
java / Servlet / ISO-8859-1 而不是 UTF-8 3
在java中调用servlet 0
难疑归档
在C#中将int转换为枚举 3015
如何制作一个很好的R可重复的例子 2474
运算符重载的基本规则和习惯用法是什么? 2074
如何将列表拆分为大小均匀的块? 2068
什么是三法则? 2067
LINQ中的多个"order by" 1537
如何遍历C#中的所有枚举值? 1359
如何在Python中打印到stderr? 1246
如何旋转Android模拟器显示? 1031
如何在psql中切换数据库? 1029