- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我使用 spring-boot
和 Spring REST
编写了一个简单的 REST API 后端。端点将由各种第三方应用程序使用并且按预期工作。
现在我想使用 spring security 和 OAUTH 2.0 来保护这些端点。
我计划使用外部 OAuth 2.0
授权服务器,这样我的 rest-api-backend
(spring-boot 应用程序)将充当资源服务器,并且通过调用外部授权服务器的 token 内省(introspection)端点来验证访问 token 。
每当客户端应用程序使用访问 token 调用我的api-end-points
时(使用机器到机器流中的 client_credentials 授权类型从外部 authz 服务器获得的不透明承载 token ) 在授权 header 中,Spring 总是抛出以下错误:
{
"error": "access_denied",
"error_description": "Invalid token does not contain resource id (oauth2-resource)"
}
经过一些研究,通过以下方式将调用应用程序的客户端 ID 设置为资源 ID 解决了该问题:
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.tokenServices(tokenService());
resources.resourceId("5ght-6117-fdc6-8787-9017-20c784a9c03a");
// super.configure(resources);
}
似乎 Spring 验证了 token 内省(introspection)响应中针对资源 ID 中设置的值的 aud
声明。
我无法完全理解这一点,为什么 Spring 会这样做?
作为资源服务器,它应该简单地检查访问 token 是否有效、是否具有正确的范围等。
Spring 是否维护了一个允许客户端的白名单?
在我的例子中,有多个客户端应用程序将访问 rest-api-backend
,那么如何存储它们的多个客户端 ID?
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.2.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>spring-security-test</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>spring-security-test</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
<version>2.2.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
PS:我已经检查过许多关于该主题的其他类似问题,但找不到我在这里提出的问题的答案。
最佳答案
当客户端向身份提供者进行身份验证时,它可以选择包含资源标识符。在身份提供者上配置客户端时,通常您可以选择要求资源标识符,如果客户端不提供资源标识符,则身份验证将失败,或者可以选择为该客户端指定默认值。
您正在构建一个资源服务器,并且可以为其分配任何标识符,只要它对于身份提供者是唯一的即可。我通常使用我的服务的 URL 作为资源标识符。有时,当我希望在不同的 URL 中使用相同的资源标识符(就像我在开发、QA 和生产环境之间使用的那样)但只有单个身份提供者。
听起来您的身份提供者在未提供受众时正在使用受众,这是一个合理的默认设置,因为在您的情况下,您的资源服务既是受众又是资源。然而,情况并非总是如此。
考虑 Facebook 想要访问您的 Gmail 联系人的情况。在此场景中,Gmail 是资源,Facebook 是受众。作为身份提供者的谷歌将询问用户是否愿意授予 Facebook 访问他的联系人的权限。如果用户授予访问权限(这只会发生一次),Google 将提供一个 token 。否则,认证失败。
范围是一个不同的概念。资源提供者可以决定将资源中的可用数据分成小节;每个小节都有一个名称(或范围)。在我们上面的示例中,Gmail 可以将联系人的数据分解为姓名、家庭住址、电话号码、电子邮件地址、推特用户名等。当用户授予 Facebook 访问他的联系人列表时,他可以限制 Facebook 仅访问姓名和电子邮件地址因此禁止访问联系人的家庭住址、电话号码和推特提要。由资源提供者(即您的服务)强制执行此约束。
可以通过在上面的代码中将值设置为 null 来禁用 Spring 对资源标识符的验证。这是我在 Azure Active Directory 是我的身份提供者时使用的。
resources.resourceId(null); // Disabled since Microsoft does not support resource ids.
关于java - Spring security oAuth 2.0(无效 token 不包含资源id(oauth2-resource)),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59543388/
我正在寻找外行人对计算机硬件和组织的介绍。以下是我想讨论的一些主题。 Brief intro to electronics. Gates and state machines, intro to re
有没有人在 Visual Basic 2010 中看到过这个错误,如果有的话......关于如何解决它的任何想法? 错误是 module 'Resources' and module 'Resourc
这个问题在这里已经有了答案: Why ?attr/colorAccent dose not work below lollipop version? (2 个答案) 关闭 5 年前。 我收到以下错误
我正在尝试通过 ring 学习 clojure 网络开发和 compojure我有点不清楚 compojure.route/resources 和 ring.middleware.resource/w
是否必须放置内部 try-with-resources 或其中一个 try-with-resources 中的所有内容都会自动关闭? try (BasicDataSource ds = Bas
我有一本包含多个食谱的 Chef 食谱,用于安装服务。 Chef-client 的工作方式是每 15 分钟(或其他固定时间间隔)重新收敛一次。现在我的食谱的第一步是停止服务,所以服务将每 15 分钟停
我有资源组“MyResources”,其中包含 4 个资源: AppService - 我的服务器, AppServicePlan - MyServerWestEuFarm, ApplicationI
我有资源组“MyResources”,其中包含 4 个资源: AppService - 我的服务器, AppServicePlan - MyServerWestEuFarm, ApplicationI
我有一个返回 ResponseEntity 的休息终点. 需要检查如何在 Swagger 规范中创建这种类型的响应。这里包中的资源是 org.springframework.core.io.Resou
In my azure portal I have 6 separate applications, I have to list all of the employed resources u
In my azure portal I have 6 separate applications, I have to list all of the employed resources u
我有一个问题,设计师不会显示表单。它失败,错误 Designer 给出警告,如下所示: 我该如何解决这个问题? 最佳答案 您似乎缺少在应用程序中加载此表单所需的项目 资源 . 您可以访问 资源右键单击
我是 angularJS 世界的新手,我可能误解了一些东西。 我的应用程序使用 Controller 、指令和服务,所有这些都运行完美,直到我使用带有 $resource 的服务,然后出现“冲突”或其
我在 Unity3D 工作。 我使用 Resources.LoadAll(path);加载文件夹和子文件夹中的所有项目。执行此操作后,我想获取对象的子文件夹名称或完整路径。这可能吗? 并且不建议使用
我需要监控每个客户端环境(一个订阅、多个资源组)的 Azure 支出。在我的研究中,我发现了 2 个可以使用的 API: 资源费率卡( https://msdn.microsoft.com/fr-fr
在 RDF 1.1 XML 语法文档中 rdf:resource 在定义 Empty Property Elements 时用作缩写形式: When a predicate arc in an RDF
这是一种常见的情况,我们需要在用户更新/创建一些数据后向用户显示错误/成功消息,我们如何在 AngularJS 中实现它? 我想添加回调但找不到解决方案。使用 $http.post().success
我正在使用 android studio 作为 IDE 开发一个 android 应用程序。 我的问题是: 如何在构建APK过程中排除某个目录下的某些文件? 在我的例子中,我想从构建中排除一些图像,因
在编译我的 Visual Studio C# 项目时,出现以下错误: 在“Resources”参数中多次指定项目“obj\Debug\SampleProject.Forms.MDIMain.resou
使用 CoffeeScript、Angular 和 $resource,我创建了以下工厂: angular.module('myapp', ['ngResource']).factory 'MyObj
我是一名优秀的程序员,十分优秀!