oauth.net/2/grant-types/authorization-code
у использовать OAuth2 для моего проекта весенней загрузки REST. Используя несколько примеров, я создал конфигурацию для OAuth2:
@Configuration
public class OAuth2Configuration {
private static final String RESOURCE_ID = "restservice";
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration extends
ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
// @formatter:off
resources
.resourceId(RESOURCE_ID);
// @formatter:on
}
@Override
public void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
.anonymous().disable()
.authorizeRequests().anyRequest().authenticated();
// @formatter:on
}
}
@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends
AuthorizationServerConfigurerAdapter {
private TokenStore tokenStore = new InMemoryTokenStore();
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints)
throws Exception {
// @formatter:off
endpoints
.tokenStore(this.tokenStore)
.authenticationManager(this.authenticationManager)
.userDetailsService(userDetailsService);
// @formatter:on
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
// @formatter:off
clients
.inMemory()
.withClient("clientapp")
.authorizedGrantTypes("password", "refresh_token", "trust")
.authorities("USER")
.scopes("read", "write")
.resourceIds(RESOURCE_ID)
.secret("clientsecret")
.accessTokenValiditySeconds(1200)
.refreshTokenValiditySeconds(3600);
// @formatter:on
}
@Bean
@Primary
public DefaultTokenServices tokenServices() {
DefaultTokenServices tokenServices = new DefaultTokenServices();
tokenServices.setSupportRefreshToken(true);
tokenServices.setTokenStore(this.tokenStore);
return tokenServices;
}
}
}
Это мой класс SecurityConfiguration:
@Configuration
@EnableWebSecurity
@Order(1)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http
.authorizeRequests().antMatchers("/api/register").permitAll()
.and()
.authorizeRequests().antMatchers("/api/free").permitAll()
.and()
.authorizeRequests().antMatchers("/oauth/token").permitAll()
.and()
.authorizeRequests().antMatchers("/api/secured").hasRole("USER")
.and()
.authorizeRequests().anyRequest().authenticated();
}
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
Я попытался проверить свое приложение с помощью двух простых запросов:
@RequestMapping(value = "/api/secured", method = RequestMethod.GET)
public String checkSecured(){
return "Authorization is ok";
}
@RequestMapping(value = "/api/free", method = RequestMethod.GET)
public String checkFree(){
return "Free from authorization";
}
Сначала я проверил два запроса:
/ Апи / бесплатно возвращенный код 200 и строка «Free from authorization»
/ API / обеспечена возвращено {"отметка времени": 1487451065106, "статус": 403, "ошибка": "Запрещено", "сообщение": "Доступ запрещен", "путь": "/ api / secure"}
И похоже, что они работают нормально.
Затем я получил access_token (используя учетные данные из моей базы данных пользователей)
/ OAuth / маркер? Grant_type = пароль и имя пользователя = emaila и пароль = emailo
Отклик:
{ "Access_token": "3344669f-C66c-4161-9516-d7e2f31a32e8", "token_type": "носителем", "refresh_token": "c71c17e4-45ba-458c-9d98-574de33d1859", "expires_in": 1199, "Объем" :"читай пиши"}
Затем я попытался отправить запрос (с полученным токеном) на ресурс, который требует аутентификации:
/ API / обеспеченный? Access_token = 3344669f-C66c-4161-9516-d7e2f31a32e8
Вот ответ:
{"отметка времени": 1487451630224, "статус": 403, "ошибка": "запрещено", "сообщение": "доступ запрещен", "путь": "/ api / secure"}
Я не могу понять, почему доступ запрещен. Я не уверен в конфигурациях, и кажется, что они неверны. Также я до сих пор не очень хорошо понимаю взаимосвязи методовнастроить (HttpSecurity http) в классе, который расширяетсяWebSecurityConfigurerAdapter и в другом, который распространяетсяResourceServerConfigurerAdapter, Спасибо за любую помощь!