问题标签 [spring-security-oauth2]

是否可以使用 spring 誓言密码流实现 2 因素身份验证？我正在考虑在端点 /oauth/token 上使用 http 过滤器。我的 oauth 访问令牌授予是通过 REST 完成的，因此整个身份验证过程将是安静的。

这将是我的自定义过滤器，但我不确定在哪里连接它：

}

我正在尝试使用OAuthRestTemplatespring-security-oauth 调用使用 Oauth 1a 的 api。

我看到大多数示例设置了使用者密钥和秘密，然后让库获取访问令牌。我有令牌和令牌机密（不会过期），我想在 OAuthRestTemplate 上设置它们并进行调用，而无需通过身份验证流程。

那可能吗？如果是这样，如何？

我对春天很陌生。

我的目标是有一些AuthenticationProvider带有自定义authenticate方法的方法，该方法将Authenticate对象作为参数，而不仅仅是用户名和密码。假设一个领域名称（当他们在不同领域时，可以有 2 个具有相同用户名的用户）。我已经在寻找我的问题的答案，但是关于身份验证问题的简单答案只解释了如何扩展AbstractUserDetailsAuthenticationProvider，这不能满足我的需要，因为检索方法只将用户名作为参数，而我也需要域名来检索用户。复杂的是在没有解释上下文的情况下扩展或实现各种不同的 Spring 类和接口。

所以简单的问题是：

我如何实现/扩展 anAuthenticationProvider才能从Authentication对象中读取自定义数据？

我的电话看起来像这样（是的，我想获得一个 OAuth2 令牌）：

注意realm=realm3最后的。

AbstractUserDetailsAuthenticationProvider当只有一个领域时，没有额外数据和我自己的子类的调用已经有效。

提前致谢！

我正在尝试使用受 Oauth2 或 Http-Basic 身份验证保护的资源来实现 API。

当我加载首先将 http-basic 身份验证应用于资源的 WebSecurityConfigurerAdapter 时，不接受 Oauth2 令牌身份验证。反之亦然。

示例配置： 这将 http-basic 身份验证应用于所有 /user/** 资源

这会将 oauth 令牌保护应用于 /user/** 资源

我确定我缺少一些魔术代码，如果第一个失败，它会告诉 spring 尝试两者？

任何帮助将不胜感激。

使用 Grails 2.3.8 和

和默认提供程序设置：

据我了解，我必须使用绝对 URL 进行回调。这是一个问题，因为我的应用程序映射到多个域，例如 myapp.com、myapp.de、myapp.ru 等。

是否可以开箱即用地为每个域提供回调 URL？

TIA

我将spring-security-oauth插件集成到我的应用程序中，通过 FB 或 Google 登录似乎工作正常。

我现在遇到的问题是，身份验证与 tomcat 会话一起过期，这不是应该的。我希望 OAuth 身份验证在客户端机器上持久存在。需要某种弹簧安全性的remember-me功能。

是否可以开箱即用地激活它？

TIA

我正在尝试将 Spring OAuth2 用于我的休息应用程序。但看起来我犯了一个错误，我可以找到我做错的地方。流程应该是： 1. 使用用户名和密码从 /oauth/token 获取令牌 2. 使用提供的令牌向 /security 发出请求

方法安全配置：

OAuth2服务器配置：

安全配置：

问题：当我尝试获取令牌时

我收到消息：

{"error":"invalid_client","error_description":"错误的客户端凭据"}

第二个问题是如何在 /oauth/token?username=root&password=password 之类的 url 参数中传递用户名/密码？

谢谢。

更新

我决定从头开始并使用 xml 配置。

以下配置完美运行：

我正在实施 OAuth2 身份验证，但我完全不明白为什么我的 CustomCredentialsTokenEndpointFilter 不起作用。

当我在调试模式下启动应用程序时，没有一个调试检查点被命中。

我需要覆盖过滤器并更改身份验证尝试的实现。

我的配置有错误吗？

身份验证适配器：

Http请求：

调用请求后记录。

我知道异常发生的位置和原因，为了解决这个问题，我必须提供自定义过滤器。

嘿，我正在使用 OAuth2 实现 Spring 应用程序。

根据spring 文档，为了启用具有 OAuth2 授权的资源请求，我需要添加 @EnableResourceServer 注释以包含 OAuth2AuthenticationProcessingFilter 。

我添加了这个注释，但不幸的是，在启动时没有在链中调用过滤器。

我可以使用 curl 命令获取访问令牌：

但资源要求：

给出：

来自服务器的空回复

到主机 localhost 的连接 #0 保持不变

在我的资源配置下面：

我的问题是：错误在哪里？

我想知道 OAuth 中是否有办法限制用户在访问令牌后可以看到的数据。例如，在“照片共享”示例中，一个应用程序包含照片列表，而另一个应用程序想要访问照片以进行打印。用户如何指示照片打印服务应该看到照片的子集？也许我只想让打印服务看到带有 .jpg 扩展名的照片，或者特定日期之后的照片，或者带有特定“标签”的照片。可以在哪里填写其他授权要求？
我有一个 java 应用程序，我们正在使用 Spring Security OAuth2，希望我们能做到这一点。

谢谢