問題タブ [spring-oauth2]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
swagger - Swagger を使用して Spring OAuth 2.0 API を文書化する
Spring セキュリティを使用して OAuth 2.0 承認サーバーのセットアップに取り組んでいます。Swagger を使用して OAuth 2.0 API を文書化したいと思います。どうすればいいですか?
java - Spring OAuth2:Java構成を使用してパスワード付与タイプを許可するにはどうすればよいですか?
Java サーバー アプリケーションで、パスワード許可フローを使用して認証しようとすると、次のエラーが発生します。
問題のユーザーに対して明示的に付与を許可しました。
次のコードを使用して、アクセス トークンを取得しています。
パスワード付与タイプを許可するためのグローバル設定はありますか?
java - Authorization ヘッダーの Spring Security OAuth2 CORS の問題
<spring.version>4.2.0.RELEASE</spring.version>、<spring.security.version>4.0.2.RELEASE</spring.security.version>、およびを使用し<spring.security.oauth2.version>2.0.9.RELEASE</spring.security.oauth2.version>ます。
私は@CrossOriginCORSでデラするのに慣れています。今のところ、すべてのヘッダーとすべてのメソッドを許可したいと考えています。CORSの問題なしで、Authorization以外のヘッダーを使用できます。しかし、Authorization (Bearer トークンを送信するためのヘッダー) を使用すると、CORS の問題が発生します。@CrossOriginクラスレベルで注釈を使用し、以下のようにすべてのヘッダーを許可します-
要求されたリソースに「Access-Control-Allow-Origin」ヘッダーがありません
他のすべてのヘッダーと同様に Authorization ヘッダーを許可し、CORS の問題を回避するにはどうすればよいですか?
spring - Spring Oauth2 ログインリダイレクトはどのように機能しますか?
私はSpring Boot Oauth2チュートリアルをいじっていましたが、かなり重要な要素が機能していないようです:
https://spring.io/guides/tutorials/spring-boot-oauth2/
認可サーバーとして実行したい。理解できる限り厳密に指示に従いましたが、/oauth/authorize エンドポイントに移動すると、403 Forbidden 応答しか返されません。これは、チュートリアルでセットアップされた HttpSecurity 構成を考えると、実際には理にかなっています。
このチュートリアルのログイン ページは、実際にはメイン インデックスであり、Oauth システムにログイン フローをそこにリダイレクトするように指示するチュートリアルはまったくありません。
これを追加することで、ある種の機能を得ることができます:
...しかし、先に進む前に、これがチュートリアルの問題なのか、私の実装の問題なのか、それとも何か他の問題なのかを本当に理解したかったのです。Oauth セキュリティ システムが「ログイン」ページを決定するメカニズムは何ですか?
spring-security - 複数のユーザー タイプ - Spring セキュリティ構成
いくつかのユーザータイプがあります
- 内部ユーザー (Active Directory を使用して認証)
- 外部ユーザー/クライアント (DB1 に保存)
- 外部ユーザー/ベンダー (DB2 に保存)
Spring Security OAuth2 を使用して GWT トークンを生成し、それを使用して一連の Web サービスを呼び出す予定です。
複数の AuthenticationProvider (LDAPAuthenticationProvider と 2 つの DAOAuthenticationProvider) を使用できますが、たとえば、ユーザーをクライアントとベンダーの両方にする機能が失われます (認証に同じ電子メールを使用する場合)。認証が成功すると、プロバイダーのポーリングが停止するためです。
プロファイル @Profile="vendor/client" を使用して、クライアントまたはベンダー認証専用の認証サーバーを起動することもできますが、これは 2 つの異なるプロセス = より多くのメンテナンスを意味します。
他のアイデアはありますか?誰かが似たようなことに遭遇しましたか?
spring - Spring OAuth2 追加権限
ユーザーを認証するための制限を追加する必要があります。私の User モデルには「アクティブ」フィールドがあります。ユーザーが登録しているが、メールからのハッシュでアカウントをアクティブ化していない場合、これは誤りです。現在、ユーザーがアクティブでない場合でも、Oauth から access_token を取得します。これをどのように構成すればよいですか? SpringSecurityInterceptor について考えていたのですが、Spring Security と OAuth2 を混同するのはよくわかりません。これは私のSpringOAuth2.0構成です:
また、春のセキュリティ
どんなアドバイスも役に立ちます。