个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我正在使用 Spring Boot 和 Spring Security OAuth 2.0 为我的 Android 应用程序开发登录系统。
我的起点是以下演示存储库:https://github.com/royclarkson/spring-rest-service-oauth。在演示中,您可以找到以下设置:
OAuth2 客户端:
clients
.inMemory()
.withClient("clientapp")
.authorizedGrantTypes("password", "refresh_token")
.authorities("USER")
.scopes("read", "write")
.resourceIds(RESOURCE_ID)
.secret("123456");
在其测试中获取访问 token 的方法:
private String getAccessToken(String username, String password) throws Exception {
String authorization = "Basic " + new String(Base64Utils.encode("clientapp:123456".getBytes()));
String content = mvc
.perform(
post("/oauth/token")
.header("Authorization", authorization)
.contentType(MediaType.APPLICATION_FORM_URLENCODED)
.param("username", username)
.param("password", password)
.param("grant_type", "password")
.param("scope", "read write")
.param("client_id", "clientapp")
.param("client_secret", "123456"))
.andExpect(status().isOk())
.andReturn().getResponse().getContentAsString();
return content.substring(17, 53);
}
项目中的每个测试都提供完美的工作,但我想以不同的方式做事,但我在这样做时遇到了麻烦。如您所见,演示客户端定义了一个 client_secret(也在测试中使用)但是 client_secret 在 Android 环境中真的毫无值(value),我不能保证它的 '隐私”。
参见 https://apigility.org/documentation/auth/authentication-oauth2:
If we are using a public client (by default, this is true when no secret is associated with the client) you can omit the client_secret value;
并查看 https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-31#section-2.1 :
Public:Clients incapable of maintaining the confidentiality of theircredentials (e.g. clients executing on the device used by theresource owner such as an installed native application or a webbrowser-based application), and incapable of secure clientauthentication via any other means.
所以我所做的就是删除客户端配置中的 secret :
clients
.inMemory()
.withClient("books_password_client")
.authorizedGrantTypes("password", "refresh_token")
.authorities("USER")
.scopes("read", "write")
.resourceIds(RESOURCE_ID);
还修改了getAccessToken(...)方法:
private String getAccessToken(String username, String password) throws Exception {
String authorization = "Basic " + new String(Base64Utils.encode("books_password_client:123456".getBytes()));
String content = mvc
.perform(
post("/oauth/token")
.contentType(MediaType.APPLICATION_FORM_URLENCODED)
.param("username", username)
.param("password", password)
.param("grant_type", "password")
.param("client_id", "books_password_client"))
.andExpect(status().isOk())
.andReturn().getResponse().getContentAsString();
return content.substring(17, 53);}
}
但是当我使用这个新设置时,我的测试失败了,我无法获得访问 token ,我不断收到 HTTP 错误 401 Unauthorized。
最佳答案
这就是我的工作:
Response response =
given().
auth()
.preemptive().basic("clientapp", "")
.formParam("username", username)
.formParam("password", password)
.formParam("grant_type", "password")
.formParam("scope", "read%20write")
when()
.post("/oauth/token").
then()
.extract().response();
关于java - 没有 client_secret 的 Spring Security OAuth 2.0,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32890255/
27
4
0
我正在尝试在 here 上可用的 google drive 的命令行演示应用程序.我已按照在 google api 控制台中创建新项目的所有步骤进行操作,然后下载了 client_secret.jso
我使用 ADAL for android 编写了下面的身份验证代码: mAuthContext = new AuthenticationContext(MainActivity.this, Const
对于用户身份验证,我使用最新的@azure/msal-angular 包。这个 Angular 库基于用于 AD 身份验证的最新 MSAL 库。但是库会抛出以下错误: ServerError: inv
我正在尝试回收 AKS 集群中的 service_principal:client_secret 值,该值是由 terraform 使用 azurerm_kubernetes_cluster 上的文档
我有以下代码: - (IBAction)connectToGoogleAnalyticsPressed:(id)sender { GPPSignIn *signIn = [GPPSignIn
我正在使用 PyDrive 将文件从我使用 Pyinstaller 打包的桌面 Python 应用程序上传到 GoogleDrive。我想尽可能地隐藏 client_secrets.json,所以我将
我尝试按照 https://developers.google.com/google-apps/activity/v1/quickstart/nodejs 中的说明使用 Node.js 创建示例程序
有点 OAUTH 的初学者,想问我是否理解正确。我正在使用 OWIN 和 C#,并设置以下场景: 用户向我的 token 端点发出请求,传入用户名/密码和密码 grant_type。如果凭据有效,那么
我正在使用 Python 中的 Google Tasks API 编写程序。我从 Google 下载并运行了示例应用程序,它带有一个名为 client_secrets.json 的文件。 .我知道该文
我目前的任务是弄清楚如何严格从客户端 JavaScript 充分利用 OAuth 2.0 提供程序,并且担心会暴露应用程序的 client_secret。这本质上是 OAuth 客户端的“密码”。 h
为了从 Facebook 获得 access_token,您必须传输您的 app_id、您在授权请求后收到的 code 以及您应用的 secret_key。 为什么我要EVER 传输我的 key ?这
我对这个东西很陌生,我真的不知道现在该怎么办,我需要能够输入“client_secret.json”文件的确切路径,但在每个教程中我看到它只使用中的文件名相同的目录,但我的不是。 creds = Se
我正在尝试从 google API 下载 client_secret.json。我正在执行 https://developers.google.com/gmail/api/quickstart/rub
我正在开发具有自己的 oAuth 授权的 Google chrome 扩展程序。当然,我必须使用 client_id 和 client_secret 作为请求 token 。 有什么办法可以向用户隐藏
我正在构建 Laravel 后端来验证来自移动设备的用户。并使用 https://github.com/lucadegasperi/oauth2-server-laravel 手机用户调用/oauth
阅读此处的一些答案,人们建议通过以下方式调用 Foursquare 进行无用户访问: https://api.foursquare.com/v2/venues/search?ll=40.7,-74&c
有没有什么巧妙的存储方法client_id和 client_secret安全地在客户端应用程序中? 这可能是一个被反编译的 Android/iOS 应用程序。或以纯文本形式提供的 Chrome 扩展程
我有一个可以在我的计算机上使用 dev_appserver.py 运行的应用程序。我部署成功: ronj@l:~$ appcfg.py update myapp/ 03:03 PM Host: app
我正在使用 google admin api 并将示例代码放在一起并稍作修改。我在谷歌端正确设置了东西,但是当我运行脚本时它一直给我错误。下面是我在 python 中的代码: from __futur
我正在尝试按照 Google 的 Node API 访问 gmail here . 当以 node quickstart.js 运行他们的示例快速入门时,出现以下错误: TypeError: Cann
我是一名优秀的程序员,十分优秀!