我做了什么
首先,我承认我缺乏春季安全知识。
我正在为我们的一种产品尝试安全的休息服务。我正在使用弹簧安全 OAuth2 JWT。我想允许匿名用户和注册用户访问我的资源。
假设我有一项服务“ http://localhost:8282/melayer/articles ”并且当我运行以下命令时
(1)。curl -X POST -vu melayer:12345 http://localhost:8282/melayer/oauth/token -H "接受: application/json" -d "password=melayer&username=melayer&grant_type=password&scope=write&client_secret=12345&client_id=melayer"
我能够接收 access_token、refresh_token 等。一切都很好,即使我可以使用接收到的 access_token 访问 url http://localhost:8282/melayer/ articles
(2)。curl http://localhost:8282/melayer/articles -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE0NjA3NzY5NDIsInVzZXJfbmFtZSI6ImVjb2tyeXB0IiwianRpIjoiNWI5ZmE4NjYtMTBlNS00NDA2LTgxYmMtYjM3NWVmNGE0ZmQ1IiwiY2xpZW50X2lkIjoiZWNva3J5cHQiLCJzY29wZSI6WyJ3cml0ZSJdfQ.4jO9euBz4TSSNh7M3l2YBD1QPblE0ZyOfGm4VtyFMFY"
我想了解的
我想匿名接收 access_token 即我不想传递用户名、密码或客户端密码,我想按以下方式运行 curl 命令
curl -X POST http://localhost:8282/melayer/oauth/token -H "接受:应用程序/json"
我担心的一个问题是,我想要使用或不使用用户凭据的 access_token 我从上周开始尝试实现这一目标,我错过了什么吗?可能吗 ?这样做的正确方法是什么?
这是一个很好的请求来帮助我:)
如果有人想查看我的代码,请参考 Git repo https://github.com/aniruddhha/spring-security-oauth2-jwt