問題タブ [spring-oauth2]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
700 参照

swagger - Swagger を使用して Spring OAuth 2.0 API を文書化する

Spring セキュリティを使用して OAuth 2.0 承認サーバーのセットアップに取り組んでいます。Swagger を使用して OAuth 2.0 API を文書化したいと思います。どうすればいいですか?

0 投票する
2 に答える
5148 参照

java - Spring OAuth2:Java構成を使用してパスワード付与タイプを許可するにはどうすればよいですか?

Java サーバー アプリケーションで、パスワード許可フローを使用して認証しようとすると、次のエラーが発生します。

問題のユーザーに対して明示的に付与を許可しました。

次のコードを使用して、アクセス トークンを取得しています。

パスワード付与タイプを許可するためのグローバル設定はありますか?

0 投票する
1 に答える
1650 参照

java - Authorization ヘッダーの Spring Security OAuth2 CORS の問題

<spring.version>4.2.0.RELEASE</spring.version><spring.security.version>4.0.2.RELEASE</spring.security.version>、およびを使用し<spring.security.oauth2.version>2.0.9.RELEASE</spring.security.oauth2.version>ます。

私は@CrossOriginCORSでデラするのに慣れています。今のところ、すべてのヘッダーとすべてのメソッドを許可したいと考えています。CORSの問題なしで、Authorization以外のヘッダーを使用できます。しかし、Authorization (Bearer トークンを送信するためのヘッダー) を使用すると、CORS の問題が発生します。@CrossOriginクラスレベルで注釈を使用し、以下のようにすべてのヘッダーを許可します-

要求されたリソースに「Access-Control-Allow-Origin」ヘッダーがありません

他のすべてのヘッダーと同様に Authorization ヘッダーを許可し、CORS の問題を回避するにはどうすればよいですか?

0 投票する
3 に答える
13033 参照

spring - Spring Oauth2 ログインリダイレクトはどのように機能しますか?

私はSpring Boot Oauth2チュートリアルをいじっていましたが、かなり重要な要素が機能していないようです:

https://spring.io/guides/tutorials/spring-boot-oauth2/

認可サーバーとして実行したい。理解できる限り厳密に指示に従いましたが、/oauth/authorize エンドポイントに移動すると、403 Forbidden 応答しか返されません。これは、チュートリアルでセットアップされた HttpSecurity 構成を考えると、実際には理にかなっています。

このチュートリアルのログイン ページは、実際にはメイン インデックスであり、Oauth システムにログイン フローをそこにリダイレクトするように指示するチュートリアルはまったくありません。

これを追加することで、ある種の機能を得ることができます:

...しかし、先に進む前に、これがチュートリアルの問題なのか、私の実装の問題なのか、それとも何か他の問題なのかを本当に理解したかったのです。Oauth セキュリティ システムが「ログイン」ページを決定するメカニズムは何ですか?

0 投票する
1 に答える
772 参照

spring-security - 複数のユーザー タイプ - Spring セキュリティ構成

いくつかのユーザータイプがあります

  • 内部ユーザー (Active Directory を使用して認証)
  • 外部ユーザー/クライアント (DB1 に保存)
  • 外部ユーザー/ベンダー (DB2 に保存)

Spring Security OAuth2 を使用して GWT トークンを生成し、それを使用して一連の Web サービスを呼び出す予定です。

複数の AuthenticationProvider (LDAPAuthenticationProvider と 2 つの DAOAuthenticationProvider) を使用できますが、たとえば、ユーザーをクライアントとベンダーの両方にする機能が失われます (認証に同じ電子メールを使用する場合)。認証が成功すると、プロバイダーのポーリングが停止するためです。

プロファイル @Profile="vendor/client" を使用して、クライアントまたはベンダー認証専用の認証サーバーを起動することもできますが、これは 2 つの異なるプロセス = より多くのメンテナンスを意味します。

他のアイデアはありますか?誰かが似たようなことに遭遇しましたか?

0 投票する
1 に答える
65 参照

spring - Spring OAuth2 追加権限

ユーザーを認証するための制限を追加する必要があります。私の User モデルには「アクティブ」フィールドがあります。ユーザーが登録しているが、メールからのハッシュでアカウントをアクティブ化していない場合、これは誤りです。現在、ユーザーがアクティブでない場合でも、Oauth から access_token を取得します。これをどのように構成すればよいですか? SpringSecurityInterceptor について考えていたのですが、Spring Security と OAuth2 を混同するのはよくわかりません。これは私のSpringOAuth2.0構成です:

また、春のセキュリティ

どんなアドバイスも役に立ちます。