- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
问题:
1) 将 OpenID Connect 身份验证集成到使用 Spring Security 进行身份验证的 web 应用程序中的最佳方法是什么?
2) 有什么办法 - 来自 MITREid事物的一面或 Google 帐户的一面 - 让 MITREid OpenID Connect 身份验证过滤器与 Google 的 OpenID Connect 服务一起使用?
我确信这些问题的答案对于任何使用 Spring Security OpenID 模块向 Google 进行身份验证的开发人员都会很有用。
细节:
我的 webapp 使用 Spring Security 的 OpenID 模块 ( <openid-login .../>
) 以 Google 帐户作为身份提供者进行身份验证。即,用户使用他们的 Google Apps 或 GMail 电子邮件地址进行身份验证。
最近,每当用户进行身份验证时,他们都会从 Google 帐户收到以下警告消息:
Important notice: OpenID2 for Google accounts is going away on April 20, 2015.
<openid-connect-login .../>
元素。但我的搜索没有出现这样的支持。
OIDCAuthenticationFilter
的 Spring Security 身份验证过滤器。用于 OpenID 连接。问题是,它不能与 Google 的 OpenID Connect 实现互操作。
Parameter not allowed for this message type: nonce
AuthRequestUrlBuilder
接口(interface)到 MITREid 配置。我的实现和 MITREid 的实现之间的唯一区别是我没有发送随机数。
Authentication Failed: ID token did not contain a nonce claim
OIDCAuthenticationFilter
中将 MITREid 异常跟踪到这些行。 :
// compare the nonce to our stored claim
String nonce = idClaims.getStringClaim("nonce");
if (Strings.isNullOrEmpty(nonce)) {
logger.error("ID token did not contain a nonce claim.");
throw new AuthenticationServiceException("ID token did not contain a nonce claim.");
}
https://support.google.com/accounts/answer/6135882
https://www.tbray.org/ongoing/When/201x/2014/03/01/OpenID-Connect
https://github.com/mitreid-connect
https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/master/openid-connect-client/src/main/java/org/mitre/openid/connect/client/OIDCAuthenticationFilter.java
https://github.com/mitreid-connect/simple-web-app
https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/master/openid-connect-client/src/main/java/org/mitre/openid/connect/client/service/impl/PlainAuthRequestUrlBuilder.java
https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/issues/726
https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/pull/704
最佳答案
AFAIK,没有从 OpenID 到 OpenID Connect 身份验证的干净简单的 Spring Security 迁移。使用有据可查的 <openid-login/>
使用 Spring Security 实现 OpenID 身份验证非常简单。但 OpenID Connect 没有类似物。
MITREid alternative仍在开发分支上,在 Maven 中心不可用,因此不是候选人。
在评论中,Chuck Mah 指向 How to implement Openid connect and Spring Security其中 Romain F. 提供 sample code .
Romain 的示例代码为我指明了正确的方向。鉴于时间不多了,我采用了 romain 的方法,即编写一个自定义 Spring Security AuthenticationFilter,使用 spring-security-oauth2 来查询 oauth2 api userinfo endpoint (对于 Google 来说是 https://www.googleapis.com/oauth2/v2/userinfo )。假设是,如果我们能够成功查询 userinfo 端点,那么用户已经成功通过身份验证,因此我们可以信任返回的信息 - 例如用户的电子邮件地址。
当我第一次开始学习 OpenID Connect 时,“id token ”似乎是中心概念。但是,浏览 spring-security-oauth2 源代码,它似乎被忽略了。这就引出了一个问题,如果我们可以在没有它的情况下进行身份验证(通过简单地查询 oauth2 userinfo 端点),那么 ID token 的意义何在?
一个极简主义的解决方案——我更喜欢——会简单地返回一个经过验证的 ID token 。无需查询 userinfo 端点。但是没有这样的解决方案以 Spring Security 身份验证过滤器的形式存在。
我的 webapp 不是 romain 的 spring-boot 应用程序。 spring-boot 在幕后做了很多配置。以下是我在此过程中遇到的一些问题/解决方案:
email
范围。
openid email
导致同意屏幕要求用户与我们分享他们的整个公共(public)个人资料......我们真的不需要或不想要......并且用户对这个同意屏幕不太满意。
关于spring-security - Spring Security 和 Google OpenID Connect 迁移,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27408599/
使用 caret::train() 运行逻辑回归模型时出现问题。LR = caret::train(Satisfaction ~., data= log_train, method = "glm",
我正在尝试将nginx容器作为我所有网站和Web服务的主要入口点。我设法将portainer作为容器运行,并且可以从互联网上访问它。现在,我正在尝试访问由另一个Nginx容器托管的静态网站,但这样做失
我有一个在 Windows XP SP3 x86 上运行的 Visual Studio 2008 C# .NET 3.5 应用程序。在我的应用程序中,我有一个事件处理程序 OnSendTask 可以同
我在 Eclipse 中创建了作为独立程序执行的此类,它可以毫无问题地连接所有 http URL(例如:http://stackoverflow.com),但是当我尝试连接到 https(例如 htt
我在我的 nginx 错误日志中收到大量以下错误: connect() failed (111: Connection refused) while connecting to upstream 我的
我正在尝试将新的 log4j2 与 Socket Appender 一起使用,但我有点不走运。这是我的 XML 配置文件:
我目前正在尝试寻找 Android 应用程序后端的替代方案。目前,我使用 php servlet 来查询 Mysql 数据库。数据库(Mysql)托管在我大学的计算机上,因此我无法更改任何配置,因为我
类MapperExtension有一些方法,before_insert, before_update, ...都有一个参数connection. def before_insert(self, map
嗨,我正在尝试更改位于连接库 (v 5.5) 中的文档的文档所有者,我仍在等待 IBM 的回复,但对我来说可能需要太长时间,这就是我尝试的原因逆向工程。 我尝试使用标准编辑器 POST 请求将编辑器更
我在 nginx( http://52.xx.xx.xx/ )上访问我的 IP 时遇到 502 网关错误,日志只是这样说: 2015/09/18 13:03:37 [error] 32636#0: *
我要实现 Connected-Component Labeling但我不确定我应该以 4-connected 还是 8-connected 的方式来做。我已经阅读了大约 3 种 Material ,但
我在Resources ->JMS ->Connection Factories下有两个连接工厂。 1) 连接工厂 2)集成连接工厂 我想修改两个连接工厂下连接池的最大连接数。资源 ->JMS ->连
我在将 mongoengine 合并到我的 django 应用程序时遇到问题。以下是我收到的错误: Traceback (most recent call last): File "/home/d
上下文 我正在关注 tutorial on writing a TCP server last week in Real World Haskell .一切顺利,我的最终版本可以正常工作,并且能够在
我在访问我的域时遇到了这个问题:我看到了我的默认 http500 错误 django 模板正在显示。 我有 gunicorn 设置: command = '/usr/local/bin/gunicor
我更换了电脑,并重新安装了所有版本:tomcat 8 和 6、netbeans 8、jdk 1.7、hibernate 4.3.4,但是当我运行 Web 应用程序时,出现此错误。过去使用我的旧电脑时,
您好,我是这个项目的新手,我在 CentOS7 ec2 实例上托管它时遇到问题。当我访问我的域时出现此错误: 2017/02/17 05:53:35 [error] 27#27: *20 connec
在开始之前,我已经查看了所有我能找到的类似问题,但没有找到解决我的问题的方法。 我正在运行 2 个 docker 容器,1 个用于 nginx,1 个用于 nodejs api。我正在使用 nginx
使用 debian 包将 kaa -iot 平台配置为单节点时。我收到以下错误。 himanshu@himpc:~/kaa/deb$ sudo dpkg -i kaa-node-0.10.0.deb
我是我公司开发团队的成员,担任管理员角色。我可以通过 https://developer.apple.com/ 访问团队的成员(member)中心 但是,当我尝试在 https://itunescon
我是一名优秀的程序员,十分优秀!