@EnableResourceServer和@EnableAuthorizationServer已经过时了吗?
我正在编写一个简单的应用程序来测试Oauth。但我发现注释@EnableResourceServer和@EnableAuthorizationServer都已经过时了! 我找不到替代方法来处理它,也找不到任何信息。 配置资源服务器和授权服务器的最新方法是什么? 谢谢!
在Spring Security OAuth2中使用用户名密码授权,使用刷新令牌请求新的访问令牌
我们正在使用用户名密码授权从身份验证服务器获取访问令牌。我们希望在访问令牌过期之前使用提供的刷新令牌刷新访问令牌,直到用户注销或关闭客户端应用程序。 但是,我无法找到任何有关如何发出此刷新令牌请求的示例。 要获得令牌,我们调用类似以下内容的东西: curl -v --data "gran...
请在您的配置中定义一个类型为“org.springframework.security.oauth2.client.registration.ReactiveClientRegistrationRepository”的bean。
我目前在我的项目中使用Spring OAuth2Client版本5.2.4.RELEASE。我参考了官方Spring文档here,实现了Spring安全性。 import org.springframework.context.annotation.Bean; import org.spri...
在Spring Security OAuth2(提供者)中使用作用域作为角色
假设我们考虑一个相当简单的应用程序,用户可以阅读或写入文章。 一些用户可以阅读和写作文章,而其他一些用户只能阅读它们。 使用Spring Security(3.2.1),我通过拥有两个角色来建模: ROLE_WRITE:此角色授予用户写入文章的访问权限。 ROLE_READ:此角色授予用...
拥有自己的Spring OAuth2服务器和第三方OAuth提供者
在Spring Boot应用程序中,我有一个OAuth2授权/资源服务器。基于此和Spring Security,我已经保护了我的Spring MVC REST API端点。 除此之外,我想根据第三方OAuth提供商(如Twitter、Facebook、Google)向我的REST端点添加身...
Spring Security OAuth2实现双因素身份验证
我正在寻找实现Spring Security OAuth2的双因素认证(2FA)的想法。要求用户仅在具有敏感信息的特定应用程序中需要双因素认证,这些Web应用程序具有自己的客户端ID。 我想到的一个想法是“滥用”范围批准页面,强制用户输入2FA代码或PIN(或其他内容)。 示例流程如下: ...
Spring Security的permitAll仍会考虑传递在Authorization头部的令牌,如果令牌无效则返回401。
我在我的项目中使用spring security oauth。通过在spring security的ResourceServerConfigurerAdapter中进行配置,我排除了一些需要忽略认证的url。我添加了" http.authorizeRequests().antMatchers(...
如何将Spring的Token Store实现为MySQL文件?
我有一个应用程序,目前正在使用Spring OAuth 2.0内存令牌存储。我需要将Spring Security OAuth 2.0 JAR转换为使用持久化文件而不是内存,以确保访问令牌在服务器重新启动后仍然有效。Spring OAuth 2.0 JAR提供了支持使用JdbcTokenSto...
Spring Security OAuth2 的 check_token 端点
我正在尝试使用Spring Security OAuth来设置一个与独立授权服务器配合的资源服务器。我正在使用要求/check_token端点的RemoteTokenServices。 我发现当使用@EnableAuthorizationServer时,默认启用了/oauth/check_t...
向Spring OAuth2认证服务器添加多个客户端
我有一个Spring OAuth授权服务器,我想为多个客户端(id)添加支持。我像这样配置了客户端:clients .inMemory().withClient(client).secret(clientSecret) .resourceIds(...