问题标签 [spring-security-oauth2]

我试图弄清楚 REST Login 上 AuthenticationFailureHandler 的 bean 配置是什么。AuthenticationFailureHandler 的通常示例与 Form-Login 相结合。我想要实现的是基于 3 次不正确的登录尝试锁定一个帐户。我当前的 bean 配置

我想要做的是在openid.realm我的授权请求中添加一个额外的参数。

我的问题与https://github.com/spring-projects/spring-security-oauth/issues/123非常相似，我尝试按照概述的方式解决它：

现在，当用户第一次点击此代码时，他会被抛出UserRedirectRequiredException（源自 getRedirectForAuthorization）并且参数有client_id、和redirect_uri，它们看起来都不错，但我错过了我刚刚设置的参数。response_typescopeopenid.realm

它不应该在重定向期间也存在吗？

更新：

这是一个在最后一个断言上失败的新测试用例。（放入文件AuthorizationCodeAccessTokenProviderTests.java：）

更新 2： 我通过扩展令牌提供程序并手动添加参数来解决这个问题。也许它不是正确的方法，但它似乎至少适用于我的具体情况：

连续3次失败后是否可以锁定帐户？使用 (Spring) Oauth 密码流有助于登录尝试。

如何在受保护资源的控制器中将访问令牌作为字符串获取？我想ConsumerTokenServices.revokeToken(String tokenValue)从这个控制器打电话？

我们想使用 OAuth 来保护我们的 api。

我们的服务器通过 API 公开功能。单独的 UI 应用程序使用这些 API。用户使用这些 UI 应用程序来访问他们的资源。由于只涉及两个系统（客户端和服务器），我们希望有 2 条腿的授权流程，而不是 3 条腿的重定向。此外，我们希望有一次单独的 UI（客户端）应用程序验证，并使用此验证码执行用户登录并获取访问令牌。

目前我们正在评估 Spring 安全框架。大多数春季安全教程/文章都讨论了带有不记名令牌方法的三足 oAuth。我不确定它是否支持请求唱歌和上面提到的所需过程。还有其他我们可以使用的开源框架吗？

我正在尝试为密码授予 oauth 流（Spring-Outh）设置 UsernameNotFoundException 和 BadCredentialsException 的处理程序。处理程序的目的是，每当抛出这些异常中的任何一个时，都会在数据库中增加一个计数器。

我不确定这个处理程序需要在什么时候设置。

在尝试在 spring security oauth2 中获取访问令牌之前，我收到 401 未经授权的错误。

我有服务器（授权和资源服务器）和客户端应用程序。那些使用 sparklr2 和 tonr2 应用程序创建的应用程序。

我在两个应用程序中都绕过了登录表单。这意味着它在开始或两个应用程序时都不会询问用户名和密码，我使用自定义类并将用户角色设置为两个应用程序的“ROLE_USER”。

这是我的错误堆栈跟踪：

这是我的服务器应用程序中的 web.xml：

这是我在服务器端的 spring-servlet.xml：

这是我在客户端的 web.xml：

这是我在客户端的 spring-security.xml：

这是我在客户端的 mvc-dispatcher-servlet：

我打电话后

“/客户/索引”

它成功绕过登录表单（在服务器和客户端）并成功调用

“/授权/oauth/授权”

它成功添加了 client_id、response_type、scope、redirect_uri 和 state 参数。

访问被确认并进入批准页面。单击“授权”按钮后，我收到 401 未经授权的错误。

非常感谢任何帮助，谢谢。

我需要为应用程序制作 sso 并组合用户表。

我想使用带有电子邮件身份验证的spring security，没有用户名或密码。

我怎样才能做到这一点？

我的局限：

• 单个用户可以使用多个电子邮件进行身份验证（如 github）
• 用户可以管理所有身份验证状态并过期特定身份验证。（在个人资料页面）
• 没有password。没有字符串username或id. （因为没有服务支持基本登录）
  ---编辑---
• OAuth 2.0 / 1.0a 身份验证

生成的方案：（这适用于这种情况吗？）

我正在尝试访问由Spring 4 应用程序中的配置触发的SecurityContext对象。这在 a 中是非功能性的，但适用于配置。@Service@Schedule@Service@Controller

如何在我的 ? 中加载相同的安全上下文引用@Service？

我用来访问上下文的代码很简单：

输出非常简单：

• 出@Controller：

  org.springframework.security.core.context.SecurityContextImpl@ffffffff: Null authentication

• 在@Controller：

  org.springframework.security.core.context.SecurityContextImpl@cf8b0421: Authentication: ....@cf8b0421: Principal: ....@1cd97f9; Credentials: [PROTECTED]; Authenticated: false; Details: ....t@60b45d5b; Granted Authorities: ....

我web.xml的是：

我的applicationContext.xml文件看起来像：

我有一个带有Spring OAuth2和Angular客户端的 Spring 后端。

什么是实现长期登录仍然可以说是安全的正确方法。

我想我可以使用密码流和刷新令牌，但这似乎并不比为浏览器客户端使用具有隐式流的长期访问令牌更安全。我想我可以使用：

• 重定向- 这将干扰用户所做的任何事情
• 弹出窗口- 在没有用户交互的情况下将被阻止

在客户端层面。但是有没有更好的方法？

PS：Cloudfoundry 的新 UI 似乎已经达到了我想要的效果。