Java Spring OAuth2限制用户通过客户端进行身份验证
我正在实现一个SpringOAuth2应用程序,其中我有使用资源的不同客户端 客户端是移动应用程序,所以我使用资源所有者密码流 在我的应用程序中有两个角色:普通用户和管理员。分别有2个客户端,一个用于普通用户,一个用于管理员 我不想在移动应用程序(客户端)上应用逻辑来检查用户是否具有访问应用程序所需的角色。据我所知,令牌对客户端应该是不透明的 我已经用用户角色限制了资源,但是我不希望auth服务器在用户不应该使用客户端时向客户端提供访问代码 如何限制某些客户端上某些用户的授权 提前谢谢 oauth配置:Java Spring OAuth2限制用户通过客户端进行身份验证,java,spring,security,oauth-2.0,Java,Spring,Security,Oauth 2.0,我正在实现一个SpringOAuth2应用程序,其中我有使用资源的不同客户端 客户端是移动应用程序,所以我使用资源所有者密码流 在我的应用程序中有两个角色:普通用户和管理员。分别有2个客户端,一个用于普通用户,一个用于管理员 我不想在移动应用程序(客户端)上应用逻辑来检查用户是否具有访问应用程序所需的角色。据我所知,令牌对客户端应该是不透明的 我已经用用户角色限制了资源,但是我不希望auth服务器在用户不应该使用客户端时向客户端提供访问代码 如何限制某些客户端上某些用户的授权 提前谢谢 oaut
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
resources.resourceId(RESOURCE_ID);
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().access("#oauth2.clientHasRole('ROLE_MANAGER') and hasRole('ROLE_MANAGER')");
}
}
@Configuration
@EnableWebSecurity
protected static class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER")
.and()
.withUser("demo").password("password").roles("USER")
.and()
.withUser("manager").password("password").roles("MANAGER");
}
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
}
@Configuration
@EnableAuthorizationServer
protected static class OAuth2Config extends AuthorizationServerConfigurerAdapter {
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager);
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("manager-client")
.authorizedGrantTypes("password", "refresh_token")
.authorities("ROLE_MANAGER")
.scopes("trust")
.resourceIds(RESOURCE_ID);
}
}
}
您使用什么连接到Oauth服务器?请求令牌时只需指定授权类型,如果尝试授权的客户端的授权类型与Oauth服务器上为客户端指定的授权类型不匹配,则不会授予令牌。授权类型不匹配时将不会完成授权。我使用授权类型密码。问题不在于授权客户。我只需要限制没有特定角色的用户连接到客户端如何在
ClientDetailsServiceBuilder
上设置.authorities(“角色”)
,如果您显示了oauth配置,您对该问题的兴趣可能会变得很简单。我用oauth配置编辑了这个问题。我知道来自auth服务器的这个请求超出了oauth2规范的范围。我想如果我想实现这个,我需要在框架中重写.getOAuth2Authentication。但该类不是spring管理的bean。