問題タブ [spring-security-oauth2]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
grails - Grails Spring Security Core で Google サインインを設定するには?
Google+ サインインを使用して Grails アプリへの認証を設定しようとしています。Google は OpenID を廃止し、新しいアプリがその方法で認証することを許可しなくなりました。
http://grails.org/plugin/spring-security-oauth2-providerを使ってみました。
インストールしたら、実際に認証するために何をすべきかわかりません。ここの空欄を埋められる人はいますか?ドキュメントhttps://adaptivecomputing.github.io/grails-spring-security-oauth2-provider/docs/guide/index.htmlを読みましたが、主に構成オプションを扱っており、ハウツーガイドではありません.
誰かが動作しているサンプル プロジェクトを持っていて、そのソースを見ることができるか、適切な読み物を教えてくれるなら、それは素晴らしいことです。
前もって感謝します、
oauth - Oauth2 の不正な資格情報 Spring Boot
エラーが発生しています:
"error": "invalid_grant", "error_description": "認証情報が正しくありません"
これが私が行うリクエストです:
私のコードはここからです: https://github.com/juleswhite/mobilecloud-14/tree/master/examples/9-VideoServiceWithOauth2
コードは次のとおりです: Application.java:
ClientAndUserDetailsService.java
OAuth2SecurityConfiguration.java
ご清聴ありがとうございました!
oauth - Spring Security OAuth2 DefaultTokenServices が認証のロード時に clientId をチェックするのはなぜですか?
メソッドでDefaultTokenServices
チェックを行う理由:clientId
loadAuthentication
上記は質問です。以下は、なぜ私がそれを思いついたのかを説明するための背景です。私が質問する理由は特別なシナリオです。たとえば、認可サーバーがすべてのクライアントに対して責任があるわけではなく、リソースサーバーが責任を負う場合、リソースサーバーと認可サーバーであるSpring Bootアプリケーションでチェックが問題を引き起こします。すべてのクライアントにサービスを提供する必要があります。
純粋な Resource Server では、clientDetailsService を null にすることができます。リソース サーバーは、登録されたクライアントを知らなくても動作できますが、リソース ID やアクセス トークンの有効性など、アクセス トークンの他のプロパティにセキュリティを適用することもできます。
純粋な認可サーバーでは問題はありません。認可サーバーには、トークンを発行できるすべてのクライアントを認識する clientDetailsService が必要だからです。
ただし、混合サーバーでは、他の承認サーバーが存在する可能性があるため、承認サーバーはすべての可能なクライアントを認識していない場合があります。Resource Server コンポーネントは、上記のコード内のすべての clientId をチェックし、この Authorization Server が認識していないクライアントからのすべてのリクエストを拒否します。
シナリオをわかりやすくするための例:
ビジネス ユーザーにトークンを発行し、ビジネス ユーザーを管理するためのサービス (作成、ロック、ロック解除など) を提供する混合サーバー (承認サーバーとリソース サーバーが 1 つ) があります。
管理ユーザー用のトークンを発行する別の承認サーバーもあります。管理ユーザーは、UI を使用してビジネス ユーザーを管理 (作成、ロック、ロック解除など) します。つまり、2. によって発行されたトークンで 1. のサービスを使用します。
java - 提供されたクライアント ID とクライアント シークレットを使用して、保護されたエンドポイントへのアクセスを提供する方法は?
OAuth を使用したアプリケーションがあります。認証には、アクセス トークンの取得、提供されたアクセス トークンを使用したリクエストの 2 つのステップが含まれます。
https://localhost.com/api/endpoint?client_id=xxxx&client_secret=yyyyのようなリクエスト パラメータとして提供されたクライアント ID とクライアント シークレットによるアクセスを提供するように Spring セキュリティを構成することは可能ですか?