1. ev
  2. Soru-cevap
  3. oAuth2 istemcisi Spring Security'de parola yardımı ile

oAuth2 istemcisi Spring Security'de parola yardımı ile

2015-04-18 18 views
5

Bir dizi oAuth2 korumalı hizmet alıyorum. Şu anda böyle çalışır: istemci, kullanıcı adlarını ve şifresini kullanarak giriş yapar. Bunları bir jetonla değiştiriyorum. Jetonu seansta tutarım ve her defasında servis çağırmak istediğimi bildiririm. Çalışıyor, ama sorun, Spring Security oAuth2 desteğinin çoğunu kullanmadan tamamen manuel olarak yapıyorum. İşte böyle görünüyor:oAuth2 istemcisi Spring Security'de parola yardımı ile

<!-- Configure Authentication mechanism --> 
<authentication-manager alias="authenticationManager"> 
    <authentication-provider ref="oAuth2AuthenticationProvider"/> 
</authentication-manager> 


<beans:bean id="oAuth2AuthenticationProvider" class="my.custom.Oauth2AuthenticationProvider"> 
    <beans:constructor-arg name="accessTokenUri" value="http://x.x.x.x/oauth/token"/> 
    <beans:constructor-arg name="clientId" value="myClientId"/> 
    <beans:constructor-arg name="clientSecret" value="myClientSecret"/> 
    <beans:constructor-arg name="scope"> 
     <beans:list> 
      <beans:value>myScope</beans:value> 
     </beans:list> 
    </beans:constructor-arg> 
</beans:bean> 

<beans:bean id="resourceOwnerPasswordAccessTokenProvider" class="org.springframework.security.oauth2.client.token.grant.password.ResourceOwnerPasswordAccessTokenProvider"/>

Eğer kendim kimlik doğrulama sağlayıcısı tarafından yapılması görebileceğiniz gibi. Standart UsernamePasswordAuthenticationToken'ı kabul ediyor ancak gerçek OAuth2AccessToken'i de koruyan kendi uzantımı üretiyor ve böylece güvenlik bağlamında kalıyor.

public class Oauth2AuthenticationProvider implements AuthenticationProvider { 

@Autowired 
private ResourceOwnerPasswordAccessTokenProvider provider; 

private String accessTokenUri; 
private String clientId; 
private String clientSecret; 
private List<String> scope; 

public Oauth2AuthenticationProvider(String accessTokenUri, String clientId, String clientSecret, List<String> scope) { 
    this.accessTokenUri = accessTokenUri; 
    this.clientId = clientId; 
    this.clientSecret = clientSecret; 
    this.scope = scope; 
} 

@Override 
public Authentication authenticate(Authentication authentication) throws AuthenticationException { 
    String username = authentication.getName(); 
    String password = authentication.getCredentials().toString(); 
    OAuth2AccessToken token = obtainToken(username, password); 
    return handleLogonSuccess(authentication, token); 
} 

private OAuth2AccessToken obtainToken(String username, String password) { 
    ResourceOwnerPasswordResourceDetails passwordResourceDetails = new ResourceOwnerPasswordResourceDetails(); 
    passwordResourceDetails.setUsername(username); 
    passwordResourceDetails.setPassword(password); 
    passwordResourceDetails.setClientId(clientId); 
    passwordResourceDetails.setClientSecret(clientSecret); 
    passwordResourceDetails.setScope(scope); 
    passwordResourceDetails.setAccessTokenUri(accessTokenUri); 
    DefaultAccessTokenRequest defaultAccessTokenRequest = new DefaultAccessTokenRequest(); 
    OAuth2AccessToken token; 
    try { 
     token = provider.obtainAccessToken(passwordResourceDetails, defaultAccessTokenRequest); 
    } catch (OAuth2AccessDeniedException accessDeniedException) { 
     throw new BadCredentialsException("Invalid credentials", accessDeniedException); 
    } 

    return token; 
} 

public OAuth2AccessToken refreshToken(OAuth2AuthenticationToken authentication) { 
    OAuth2AccessToken token = authentication.getoAuth2AccessToken(); 
    OAuth2RefreshToken refreshToken = token.getRefreshToken(); 
    BaseOAuth2ProtectedResourceDetails resourceDetails = new BaseOAuth2ProtectedResourceDetails(); 
    resourceDetails.setClientId(clientId); 
    resourceDetails.setClientSecret(clientSecret); 
    resourceDetails.setScope(scope); 
    resourceDetails.setAccessTokenUri(accessTokenUri); 
    OAuth2AccessToken newToken = provider.refreshAccessToken(resourceDetails, refreshToken, new DefaultAccessTokenRequest()); 
    authentication.setoAuth2AccessToken(newToken); 
    return newToken; 
} 

public boolean supports(Class<?> authentication) { 
    return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication); 
} 

private Authentication handleLogonSuccess(Authentication authentication, OAuth2AccessToken token) { 

    MyCustomOAuth2AuthenticationToken successAuthenticationToken = new MyCustomOAuth2AuthenticationToken(user, authentication.getCredentials(), calculateAuthorities(authentication), token); 

    return successAuthenticationToken; 
} 

public list<GrantedAuthority> calculateAuthorities(Authentication authentication) { 
     //my custom logic that assigns the correct role. e.g. ROLE_USER 
}

}

Gördüğünüz gibi, temelde belirteci Ben sadece arka uç hizmetlerine her çağrı etmeden önce manuel olarak nerede güvenlik kapsamında kaldığından emin kılar. Benzer şekilde, her aramadan önce belirtecin tazeliğini kontrol edeceğim. Bu iyi çalışıyor, ama eminim ki, daha çok yapılandırma gerektirmeyen bir şekilde aynı şeyi elde etmek için Spring'in oauth ad alanını XML'de (Java config kullanmıyorum) kullanabilirim. Bulduğum çoğu örnek, umurumda değil ve sadece kafamı karıştırdığım oAuth sunucu uygulamasını içeriyor.

Bu konuda bana yardımcı olabilecek herhangi biri var mı?

kaynak

2015-04-18 kaqqao

cevap

3

Spring Security OAuth kaynaklarına ve çevrimiçi bulunan diğer çözümlerin parçalarına göz atmaktan benzer bir çözümü püre haline getirdim. Java yapılandırma kullanıyorum ama belki bir xml yapılandırmaya öğrenmenize yardımcı olabilir, burada o da:

@Configuration 
@EnableOAuth2Client 
public class RestClientConfig { 

    @Value("${http.client.maxPoolSize}") 
    private Integer maxPoolSize; 

    @Value("${oauth2.resourceId}") 
    private String resourceId; 

    @Value("${oauth2.clientId}") 
    private String clientId; 

    @Value("${oauth2.clientSecret}") 
    private String clientSecret; 

    @Value("${oauth2.accessTokenUri}") 
    private String accessTokenUri; 


    @Autowired 
    private OAuth2ClientContext oauth2ClientContext; 


    @Bean 
    public ClientHttpRequestFactory httpRequestFactory() { 
     return new HttpComponentsClientHttpRequestFactory(httpClient()); 
    } 

    @Bean 
    public HttpClient httpClient() { 
     PoolingHttpClientConnectionManager connectionManager = new PoolingHttpClientConnectionManager(); 
     connectionManager.setMaxTotal(maxPoolSize); 
     // This client is for internal connections so only one route is expected 
     connectionManager.setDefaultMaxPerRoute(maxPoolSize); 
     return HttpClientBuilder.create().setConnectionManager(connectionManager).build(); 
    } 

    @Bean 
    public OAuth2ProtectedResourceDetails oauth2ProtectedResourceDetails() { 
     ResourceOwnerPasswordResourceDetails details = new ResourceOwnerPasswordResourceDetails(); 
     details.setId(resourceId); 
     details.setClientId(clientId); 
     details.setClientSecret(clientSecret); 
     details.setAccessTokenUri(accessTokenUri); 
     return details; 
    } 

    @Bean 
    public AccessTokenProvider accessTokenProvider() { 
     ResourceOwnerPasswordAccessTokenProvider tokenProvider = new ResourceOwnerPasswordAccessTokenProvider(); 
     tokenProvider.setRequestFactory(httpRequestFactory()); 
     return new AccessTokenProviderChain(
        Arrays.<AccessTokenProvider> asList(tokenProvider) 
       ); 
    } 

    @Bean 
    public OAuth2RestTemplate restTemplate() { 
     OAuth2RestTemplate template = new OAuth2RestTemplate(oauth2ProtectedResourceDetails(), oauth2ClientContext); 
     template.setRequestFactory(httpRequestFactory()); 
     template.setAccessTokenProvider(accessTokenProvider()); 
     return template; 
    } 
}

buldum Önemli bir bit aksi bile tek Sağlayıcı için otomatik AccessTokenProviderChain kullanmak gerektiğidir jeton yenileme (kimlik doğrulamadan sonra) çalışmaz.

String url = "http://localhost:{port}/api/users/search/findByUsername?username={username}"; 

    ResponseEntity<User> responseEntity = restTemplate.getForEntity(
      url, User.class, 8081, username);

İsterseniz:

@Autowired 
private OAuth2RestTemplate restTemplate; 

restTemplate.getOAuth2ClientContext().getAccessTokenRequest().set("username", username); 
restTemplate.getOAuth2ClientContext().getAccessTokenRequest().set("password", password);

Sonra RestTemplate yöntemleri, örneğin kullanılarak normal şekilde istekleri verebilir:

bu gerekir ilk talep üzerine kullanıcı kimlik ayarlamak için tel üzerindeki istekleri izlemek için apache http istemcisindeki günlük seviyesini DEBUG olarak ayarlayabilirsiniz, örn.

logging.level.org.apache.http = DEBUG

kullanıcı adı ve şifre POST vücutta ne olursa

kaynak

2016-02-23 06:57:39 jpt

+0

: Bahar Boot ile? x-www-url-kodlanmış olarak – cosbor11

İlgili konular

 İlgili konular