26

我们使用用户名密码授权从我们的身份验证服务器获取访问令牌。我们希望在访问令牌过期之前使用提供的刷新令牌刷新访问令牌,直到用户注销或关闭客户端应用程序。

但是,我找不到任何有关如何发出此刷新令牌请求的示例。

为了获得令牌,我们调用如下:

curl -v --data "grant_type=password&username=user&password=pass&client_id=my_client" http://localhost:8080/oauth/token

所以刷新我希望调用看起来像这样:

curl -v --data "grant_type=refresh_token&access_token=THE_ACCESS_TOKEN&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token

或者可能

curl -v -H "Authorization: Bearer THE_ACCESS_TOKEN" --data "grant_type=refresh_token&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token

但它只会给我一个401 ..

哦,是的,也许我需要添加clientId?我不能使用客户端密码,因为没有(请参阅上面的获取令牌的请求)。毕竟身份验证是使用用户名和密码完成的。

我认为我们的服务器配置是正确的,所以我不会在这里发布。如果我的示例请求之一应该有效并且您需要查看重要的配置部分,我将添加它们。

谢谢!

4

2 回答 2

40

所以正如我所说,我们不使用客户端密码,因为我们不能在 Javascript 客户端应用程序中使用它。在使用用户名密码授权时,无论如何都不需要它。(请参阅我们请求访问令牌的方式)。事实上,我已经接近解决方案并最终弄清楚了:

curl -v --data "grant_type=refresh_token&client_id=THE_CLIENT_ID&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token

所以不需要访问令牌或客户端密码。

总而言之,它感觉足够安全。

  • 我们不会在客户端应用程序端存储任何秘密。
  • 用户总是需要密码才能登录,并且只能看到他们的资源。
  • 我们将刷新令牌的有效性限制为一个实际时间,例如工作日或其他时间,这样即使它受到攻击,攻击者的窗口也会受到限制,同时仍然允许用户在整个长会话期间方便地保持与资源服务器的连接。
于 2013-10-31T08:45:29.640 回答
12

对于密码 grant_type,需要 clientId 和 clientSecret。您在第三次尝试时很接近,但您在 Authorization 标头中传递了 Base64 编码的 clientId 和 clientSecret 而不是访问令牌。这是正确的刷新令牌请求:

curl -H "Authorization: Bearer [base64encode(clientId:clientSecret)]" "https://yourdomain.com/oauth/token?grant_type=refresh_token&refresh_token=[yourRefreshToken]"

如需良好的参考,请查看:http ://techblog.hybris.com/2012/06/11/oauth2-resource-owner-password-flow/

于 2013-10-29T14:10:33.387 回答