我的 Oauth2 授权有严重问题,四个晚上后我慢慢放弃,所以我希望有人可以帮助我。
客户端: 我有一个 Angular2 客户端作为单独的前端项目。我知道 oauth/token post 应该是什么样的,因为我已经用 Postman 测试了它。问题是授权标头被剥离并且无法到达服务器。注意:我添加了这些访问控制标头,拼命尝试使其工作。我不确定这是否有什么区别......
let headers = new Headers();
headers.append('Content-Type', 'application/x-www-form-urlencoded; charset=utf-8');
headers.append('Accept', 'application/json');
headers.append('Access-Control-Allow-Origin', '*');
headers.append('Access-Control-Allow-Headers', 'Authorization');
headers.append('Authorization', 'Basic ' + Base64.encode('angularApp:theBiggestSecret'));
let options = new RequestOptions({ headers: headers });
this.http.post(`${this.baseUrl}oauth/token`, "grant_type=password&scope=read&username=test&password=test&client_id=angularApp&client_secret=theBiggestSecret", headers)
.subscribe(
response => console.log(response)
);
}
服务器: 我有 Spring MVC 应用程序以“WebApplicationInitializer”启动,并在初始化程序中注册了 springSecurityFilterChain。所有配置都是通过注释完成的,根本没有 webapp 内容。从嵌入式码头开始。
我在同一个应用程序中配置了 AuthorizationServer 和 ResourceServer,我通过 http.addFilterBefore 在 SecurityConfiguration 中配置了 CorsFilter,我可以看到它正在工作。
问题: 嗯,我的授权标头仍然被删除,因此基本身份验证无法运行,并且我没有获得该访问令牌。但是,我相信 CORS 现在工作正常,我在浏览器中没有收到与 CORS 相关的错误,我可以将其视为响应标头:
HTTP/1.1 401 Unauthorized
Date: Fri, 23 Sep 2016 21:41:34 …