4

因此,我们已经使用spring-security在我们的REST 服务器客户端应用程序服务器之间实现了OAuth2 - 客户端凭据授予。客户端可以使用客户端凭据身份验证获得的令牌访问其资源。

我没有得到的是我可以为客户和资源设置的范围。

我明确说过,客户端 A具有角色 X范围 READ并且我说资源 U可以使用角色 X范围 READ访问。现在我希望资源拒绝任何DELETE请求POST,但显然我错了。如果我向资源 U 发送一个HTTP DELETE它将通过。

所以看起来范围在我的设置中毫无意义。我该如何使用它们?

还是我仍然需要按照下面的建议限制对资源本身的访问?

我们设置的片段:

<oauth:client-details-service id="clientDetails">
    <oauth:client client-id="the_client"
        authorized-grant-types="client_credentials" authorities="ROLE_CLIENT"
        scope="read" secret="secret" />
</oauth:client-details-service>


<http pattern="/rest/**" create-session="never"
    entry-point-ref="oauthAuthenticationEntryPoint"
    access-decision-manager-ref="accessDecisionManager"
    xmlns="http://www.springframework.org/schema/security">
    <anonymous enabled="false" />

    <intercept-url pattern="/rest/persons" access="ROLE_CLIENT,SCOPE_READ" />

    <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
    <access-denied-handler ref="oauthAccessDeniedHandler" />
</http>

REST 资源:

@Path("/persons")
@Named
public class PersonRest {

    @GET
    @Consumes(MediaType.APPLICATION_FORM_URLENCODED)
    @Produces({ MediaType.APPLICATION_JSON })
    public Response getAll(@Context UriInfo uriInfo) {
        // ...
    }

    @DELETE
    @Path("/{id}")
    @Consumes(MediaType.TEXT_PLAIN)
    @Produces(MediaType.APPLICATION_JSON)
    @Transactional
    public Response delete(@PathParam("id") String id) {
        // ...
    }

是否有任何“简单”配置来告诉服务器端的 Spring Security,ROLE_READ 应该只允许 GET 请求?

或者我是否需要@PreAuthorize为特定资源设置一些注释或上下文?

那么,这样的事情会起作用吗:?

    @PreAuthorize("hasScope(read)")
    @DELETE
    @Path("/{id}")
    // ...
    public Response delete(@PathParam("id") String id) {

虽然如果我不得不这样做,那将是一个可怕的消息,因为那时我必须单独配置每个资源......

也许我可以使用一些过滤器

感谢您对此的任何帮助!

4

1 回答 1

3

为什么不能使用

@RolesAllowed({"customRole"})

保护您的 HTTP 方法,并使用过滤器将 Oauth 范围转换为 {customRole}

或者你试过

<security:intercept-url pattern="/rest/persons" access="hasAnyRole('ROLE_USER_READ')" method="GET"/>

或类似的东西

于 2013-01-17T06:57:17.503 回答