问题标签 [spring-oauth2]

我正在使用 Spring 安全性设置 OAuth 2.0 授权服务器。我想使用 Swagger 记录 OAuth 2.0 API。我该怎么做呢？

在我的 java 服务器应用程序中，尝试使用密码授予流程进行身份验证时出现以下错误：

我确实允许有问题的用户明确授予：

我正在使用以下代码来检索访问令牌：

是否有允许密码授予类型的全局设置？

I am using the following libraries:

• spring-security-oauth2-2.0.9
• spring-4.2.1
• Gson - 2.2.4

and configured GsonHttpMessageConverter in applicationContext.xml:

Added :

By default spring-oauth2 uses jackson-converter to serialize/deserialize json. With including jackson libraries, I am not able to get the oauth token from spring TokenEndPoint service. When I comment the message-converters tag, I am able to get oauth token. Please let me know how I can use GsonHttpMessageConverter to get the oauth token, or is there any other way to obtain oauth token.

When debugged the GsonHttpMessageConverter code, it throws HttpMessageNotWritableException, please help. It seems that OAuth2AccessToken.java has expiration attribute which is java.util.Date type, can this be a problem with the configured converter. This converter we need for POST-ing json dates in that format. please help

Thanks in advance.

当我调用刷新令牌时，Web 服务返回一个新的访问令牌和旧的刷新令牌，因为访问令牌尚未过期。当我调用刷新令牌时，此 Web 服务是否有任何配置返回我一个新的访问令牌和一个新的刷新令牌？

我使用<spring.version>4.2.0.RELEASE</spring.version>,<spring.security.version>4.0.2.RELEASE</spring.security.version>和<spring.security.oauth2.version>2.0.9.RELEASE</spring.security.oauth2.version>.

我@CrossOrigin过去常常使用 CORS。现在，我想允许所有标题和所有方法。我可以使用除 Authorization 之外的任何其他标头，而不会出现任何 CORS 问题。但是使用授权（发送不记名令牌的标头），我得到了 CORS 问题。我@CrossOrigin在类级别使用注释并允许所有标题如下 -

请求的资源上不存在“Access-Control-Allow-Origin”标头

我如何允许 Authorization 标头以及所有其他标头并避免 CORS 问题？

我一直在研究 Spring Boot Oauth2 教程，但我似乎无法让一个非常关键的元素正常工作：

https://spring.io/guides/tutorials/spring-boot-oauth2/

我想作为授权服务器运行。我已经尽可能地按照说明进行操作，但是当我转到 /oauth/authorize 端点时，我得到的只是 403 Forbidden 响应。鉴于教程设置的 HttpSecurity 配置，这对我来说实际上是有意义的：

本教程的登录页面实际上是主索引，我在教程中绝对看不到任何指示 Oauth 系统将登录流程重定向到那里的内容。

我可以通过添加这个来让它工作：

...但在继续前进之前，我真的很想了解这是否是教程或我的实现或其他问题的问题。Oauth 安全系统决定什么是“登录”页面的机制是什么？

我们有几种用户类型

• 内部用户（使用 Active Directory 进行身份验证）
• 外部用户/客户端（存储在 DB1 中）
• 外部用户/供应商（存储在 DB2 中）

我们计划使用 Spring Security OAuth2 生成 GWT 令牌，然后可以使用它来调用一组 web 服务

我可以使用多个 AuthenticationProviders（LDAPAuthenticationProvider 和两个 DAOAuthenticationProviders），但是我们将失去让用户同时成为客户端和供应商的能力（如果他们使用相同的电子邮件进行身份验证）。因为一旦身份验证成功，它将停止轮询提供程序。

我还可以使用配置文件 @Profile="vendor/client" 并专门为客户端或供应商身份验证启动身份验证服务器 - 但这意味着两个不同的进程 = 更多维护。

还有其他想法吗？有人遇到过类似的事情吗？

我需要添加额外的限制来验证用户。我的用户模型有一个“活动”字段。当用户注册但未使用邮件中的哈希激活他的帐户时，这是错误的。现在，即使用户不活跃，他也会从 Oauth 获得 access_token。我应该如何配置这个？我在考虑 SpringSecurityInterceptor，但我不确定将 Spring Security 与 OAuth2 混淆。这是我的 SpringOAuth2.0 配置：

还有 Spring 安全性

任何意见将是有益的。

我正在将一个整体分解成微服务。新的微服务是用 Spring 使用 Spring Security 和 OAuth2 编写的。单体应用使用自己的自定义安全性，而不是 Spring 安全性，目前用户仍将使用这种本土安全性登录到单体应用。这个想法是，新的 MS 应用程序将拥有自己的用户群，而单体应用程序本身将成为这些服务的“用户”。我已经成功设置了一个 OAuth2 身份验证服务器以使其正常工作，并且我能够使用客户端凭据登录以访问 REST API。

问题是微服务还包括他们自己的 UI，需要管理员直接访问（使用新的微服务用户和登录页面）和通过单体（希望使用客户端凭据，以便单体用户不必再次登录）。我有第一个工作，我可以访问新的 UI，我点击 OAuth 服务器上的登录页面，然后我被重定向回新的 UI 并经过身份验证和授权。

我的期望是我可以在后台使用客户端凭据登录到 OAuth 服务器，然后使用身份验证令牌让前端用户已经在前端进行身份验证。

我的问题是 - 当通过 UI 进入时，我应该如何实现让客户端凭据登录绕过登录页面？使用 Postman，我已经使用凭据访问了http://myauthapp/oauth/token并获得了访问令牌。然后，我想我也许可以获取带有标题“Authorization: Bearer”的受保护的 UI url ( http://mymicroservice/ui )，但我仍然被重定向到登录页面。

在 UI 应用程序上：

安全配置：

我使用 Spring Boot OAuth2 和@EnableOAuth2Client. 我的应用程序在 HTTPS 上运行，但是当我尝试登录 Odnoklassniki 社交网络时，它会生成以下 url：

有什么办法可以改变http://example.com这个https://example.com网址吗？