问题标签 [cloudfoundry-uaa]

我们在本地 mysql 数据库中拥有所有用户数据。我们正在将我们的服务转移到云端，我需要使用 cloudfoundry UAA 通过调用我们网络上的登录微服务端点来进行身份验证，而不是为 db 中的所有用户执行 uaac add user。

我对此很陌生，如果您能解释一下执行此操作的步骤，那将对我有所帮助。

提前致谢

In UAA There are two Concepts, Authority and Scope.

These concepts seems to overlap. I would like to know exact difference and purpose

For example , oauth.login

我正在尝试在我的本地开发环境中使用 Cloud Foundry 的 UAA。我只是想使用自定义 UAA.yml 文件为我的自定义 UAA 设置自定义验证和签名密钥，现在一切都很好。但我的问题是，我在哪里可以检查以前给定的设置是否有效？

如果我使用 uaac 签名密钥命令，结果如下：

alg：HMACSHA256 值：tokenkey kty：MAC 使用：sig

任何人都可以帮助理解它吗？:)

我们希望将UAA其用作我们服务的 oauth2 提供者，但一些功能应该更改或重新配置以满足我们的需求。（主要涉及品牌重塑和调整一些工作流程）

现在我的问题是我们如何才能做到这一点？我当前的解决方案如下：在新项目中cloudfoundry-identity-uaa用作依赖项，然后覆盖或添加xml 配置文件并添加其他需要的类。有没有更好的方法？warwarspringwar

编辑：
我想要的一些更改：
1.更改注册工作流程以便管理员验证新用户而不是使用电子邮件验证
2.更改TemplateResolvers 的配置以启用utf-8模板
3.禁用csrf某些端点的保护

我们正在为我们的客户使用 UAA 的多租户功能。因此，每个人都有自己的身份区域。我们还希望有一个与默认 UAA 身份区域分开的管理员身份区域。但是，似乎只有默认 UAA 身份区域中的用户才能切换身份区域。

来自IdentiyZoneSwitchingFilter：

显然IdentityZoneHolder.isUaa()，除了 UAA 身份区域之外的任何东西都是错误的。

过去，我们对 UAA 进行了重大修改以支持我们的功能，包括安装我们自己的IdentityZoneSwitchingFilter. 我们最近升级到 3.3.0 并试图提取我们所有的代码，以便在我们的东西和 UAA 之间有一个清晰的分离。

我们希望 UAA 保持不变，但看起来我们仍然需要配置我们自己的IdentityZoneSwitchingFilter. 这个对吗？有没有其他方法可以在不修改 UAA 的情况下实现这一点？

我正在开发一个将 UAA-API 与我的 java 控制器链接的 java 客户端。我在实现密码更改功能时遇到了问题。即使使用 Postman，我也无法获得预期的结果。

以下是我提出请求的方式：我的 API 端点是：

以下是标题：

每次我提出请求时，它都会给出以下响应：

这是 API：

我正在尝试Cloudfoundry UAA使用Ajax.

我的POST请求<uaa-url>/oauth/token触发了一个preflight Options请求。

其中Chrome and firefox发送以下控制标头值

它可以正常工作，因为UAA允许这些标头作为CORS响应。

问题随之而来，Safari其中在控制标头中包含一个新标Origin头，如下所示（用于preflight Options请求）

响应上述请求，UAA403与 HTML 正文一起发送消息

我省略了不相关的 HTML。

我的问题是，如果 UAA 不支持Origin中的标头，allowed CORS headersSafari 将如何向UAA服务发出 Ajax 请求？

由于 safariOrigin在每个预检请求中发送此标头。我在这里迷路了，现在正在考虑向 UAA 发出服务器端请求。

此时似乎不可能使用 Safari 浏览器向 Cloudfoundry UAA 实例发出 Ajax 请求。

我曾经用Password grant typeUAA 实现自定义登录表单。我正在使用 Ajax，因此应用程序服务器不知道密码。

也欢迎任何关于在不与服务器共享密码且不使用 Ajax 的情况下实现自定义登录表单的建议。

我正在尝试使微服务环境正常工作。我已经设置了 config-server、eureka-server、zuul-server 和 service。为了处理安全问题，我安装并运行了 Cloud Foundry 的 UAA 服务器。

按照有关如何设置 UAA 服务器的文档，可以选择将Ldap 组作为我拥有的范围，我可以看到它们是如何在 UAA 服务器日志上创建的，但它们不会进入 JWT 令牌。Zuul 正确代理到 UAA 服务器，我在 UAA 上执行身份验证过程并在 Zuul 上获取 JWT 令牌，然后 zuul 将代理添加到它后面的服务中，但没有登录用户的组/范围只有 openid 范围关于客户端配置。我错过了什么吗？或者这就是事情的工作方式，我必须实施一种解决方法，即从令牌中获取用户的用户名并获得他对每个服务的每个请求的访问权限？

这是我的 uaa.yml：

我有一个应用程序需要按方法提取租户信息。我正在使用 Cloud Foundry 的 UAA 服务器来满足我的身份验证和授权需求。我尝试通过执行以下操作来访问租户信息：

OAuth2Authentication 对象没有关于租户的任何信息，只有范围和授权。有没有办法从方法中获取这些信息？

感谢您的任何帮助。

https://77b186f0-b9a1-4956-b72a-630108a331b7.predix-uaa.run.aws-usw02-pr.ice.predix.io/Users/daa7daaa-23b3-409d-b6ce-0857b76a62de/s102

接受：应用程序/json 范围：password.write aud：密码

curl 命令 curl --request POST \ --url https://77b186f0-b9a1-4956-b72a-630108a331b7.predix-uaa.run.aws-usw02-pr.ice.predix.io/Users/daa7daaa-23b3-409d -b6ce-0857b76a62de/dff \ --header 'accept: application/json' \ --header 'aud: password' \ --header '授权：bearer {token}' \ --header '缓存控制：无缓存' \ --header 'content-type: application/x-www-form-urlencoded' \ --header 'pragma: no-cache' \ --header 'scope: password.write'

带密码的用户 ID

供参考 https://github.com/GESoftware-CF/uaa/blob/master/docs/UAA-APIs.rst