У меня есть приложение с OAuth. Аутентификация состоит из 2 шагов: получить токен доступа, сделать запрос с предоставленным токеном доступа.
Можно ли настроить безопасность Spring для предоставления доступа по предоставленному идентификатору клиента и секрету клиента в качестве параметров запроса, таких как https://localhost.com/api/endpoint?client_id=xxxx&client_secret=yyyy?
Ответ как всегда прост:
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints
.tokenGranter(new CompositeTokenGranter(
Arrays.asList(resourceOwnerPasswordTokenGranter(), clientCredentialsTokenGranter())))
.authenticationManager(providerManager())
.clientDetailsService(clientDetailsService())
.tokenServices(defaultTokenServices());
}
private TokenGranter resourceOwnerPasswordTokenGranter() {
return new ResourceOwnerPasswordTokenGranter(
new ProviderManager(Arrays.asList(authenticationProvider())),
defaultTokenServices(),
clientDetailsService(),
defaultOAuth2RequestFactory());
}
private TokenGranter clientCredentialsTokenGranter() {
return new ClientCredentialsTokenGranter(
defaultTokenServices(),
clientDetailsService(),
defaultOAuth2RequestFactory());
}
Я добавил новый CompositeTokenGranter со списком из двух грантеров: ResourceOwnerPassswordTokenGranter (для аутентификации по clientId + clientPassword + имя пользователя + пароль) и ClientCredentialsTokenGranter (для аутентификации по clientId + clientPassword).
ИЗМЕНИТЬ
Похоже, мой вопрос был неправильным. Извини за это. Я внес эти изменения для сервера авторизации. Так что он работает только для / oauth / token. Как решить проблему с вопросом, я пока не знаю, но обновлю этот вопрос, когда найду решение.
