Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 SpringCloudOAuth2:密码授予类型&;资源安全

Oauth 2.0 SpringCloudOAuth2:密码授予类型&;资源安全

oauth-2.0 single-sign-on spring-cloud

Oauth 2.0 SpringCloudOAuth2:密码授予类型&;资源安全,oauth-2.0,single-sign-on,spring-security-oauth2,spring-cloud,Oauth 2.0,Single Sign On,Spring Security Oauth2,Spring Cloud,关于OAuth2,我有两个问题: 如何通过授权类型保护资源?我想用client_凭据保护我的restapi,然后想通过密码授予类型保护特定于用户的资源。这可能吗 根据教程,密码授予类型不需要客户机密码,尽管SpringCloudOAuth2似乎总是需要客户机密码。我该怎么处理?通过设置一个像“abc”这样毫无意义的客户机密,而不关心它 如果我有一个带有@enableAuth2sso的客户端应用程序,尽管我没有提供授权类型“授权代码”,但我只会重定向到授权Uri。如果我只提供密码授予类型,那么重定

关于OAuth2,我有两个问题:

  • 如何通过授权类型保护资源?我想用client_凭据保护我的restapi,然后想通过密码授予类型保护特定于用户的资源。这可能吗

  • 根据教程,密码授予类型不需要客户机密码,尽管SpringCloudOAuth2似乎总是需要客户机密码。我该怎么处理?通过设置一个像“abc”这样毫无意义的客户机密,而不关心它

  • 如果我有一个带有@enableAuth2sso的客户端应用程序,尽管我没有提供授权类型“授权代码”,但我只会重定向到授权Uri。如果我只提供密码授予类型,那么重定向到令牌Uri不是更有意义吗

    • 谢谢

    如何通过授权类型保护资源?我想用客户端凭据保护我的REST API

    使用OAuth2访问规则并指定您只需要客户端。例如,使用
    #oauth2
    表达式变量和
    #oauth2.isClient()
    ()

    密码授予类型不需要客户端密码

    错。您需要对客户端进行身份验证。如果它没有密码,它就不是很安全,但是如果你愿意,你可以这样做(使用空密码)

    如果我有一个带有@enableAuth2sso的客户端应用程序,尽管我没有提供授权类型“授权代码”,但我只会重定向到授权Uri。如果我只提供密码授予类型,那么重定向到令牌Uri不是更有意义吗

    不,令牌端点是一个反向通道,它不是这样工作的(即使假设您允许从GET授予令牌,用户会如何处理响应?)。外部web应用程序没有使用密码授权的协议(主要用于本机应用程序)。在web应用程序中,应该使用身份验证代码

    如何通过授权类型保护资源?我想用客户端凭据保护我的REST API

    使用OAuth2访问规则并指定您只需要客户端。例如,使用
    #oauth2
    表达式变量和
    #oauth2.isClient()
    ()

    密码授予类型不需要客户端密码

    错。您需要对客户端进行身份验证。如果它没有密码,它就不是很安全,但是如果你愿意,你可以这样做(使用空密码)

    如果我有一个带有@enableAuth2sso的客户端应用程序,尽管我没有提供授权类型“授权代码”,但我只会重定向到授权Uri。如果我只提供密码授予类型,那么重定向到令牌Uri不是更有意义吗

    不,令牌端点是一个反向通道,它不是这样工作的(即使假设您允许从GET授予令牌,用户会如何处理响应?)。外部web应用程序没有使用密码授权的协议(主要用于本机应用程序)。在web应用程序中,应该使用身份验证代码

    如何通过授权类型保护资源?我想用客户端凭据保护我的REST API

    使用OAuth2访问规则并指定您只需要客户端。例如,使用
    #oauth2
    表达式变量和
    #oauth2.isClient()
    ()

    密码授予类型不需要客户端密码

    错。您需要对客户端进行身份验证。如果它没有密码,它就不是很安全,但是如果你愿意,你可以这样做(使用空密码)

    如果我有一个带有@enableAuth2sso的客户端应用程序,尽管我没有提供授权类型“授权代码”,但我只会重定向到授权Uri。如果我只提供密码授予类型,那么重定向到令牌Uri不是更有意义吗

    不,令牌端点是一个反向通道,它不是这样工作的(即使假设您允许从GET授予令牌,用户会如何处理响应?)。外部web应用程序没有使用密码授权的协议(主要用于本机应用程序)。在web应用程序中,应该使用身份验证代码

    如何通过授权类型保护资源?我想用客户端凭据保护我的REST API

    使用OAuth2访问规则并指定您只需要客户端。例如,使用
    #oauth2
    表达式变量和
    #oauth2.isClient()
    ()

    密码授予类型不需要客户端密码

    错。您需要对客户端进行身份验证。如果它没有密码,它就不是很安全,但是如果你愿意,你可以这样做(使用空密码)

    如果我有一个带有@enableAuth2sso的客户端应用程序,尽管我没有提供授权类型“授权代码”,但我只会重定向到授权Uri。如果我只提供密码授予类型,那么重定向到令牌Uri不是更有意义吗

    不,令牌端点是一个反向通道,它不是这样工作的(即使假设您允许从GET授予令牌,用户会如何处理响应?)。外部web应用程序没有使用密码授权的协议(主要用于本机应用程序)。在web应用程序中,您应该使用身份验证代码。

    谢谢Dave!我不知道这件事。我现在使用方法安全表达式,它的工作方式很有魅力。谢谢你的回答,我真的很感激。继续做gerat的工作!谢谢你,戴夫!我不知道这件事。我现在使用方法安全表达式,它的工作方式很有魅力。谢谢你的回答,我真的很感激。继续做gerat的工作!谢谢你,戴夫!我不知道这件事。我现在使用方法安全表达式,它的工作方式很有魅力。谢谢你的回答,我真的很感激。继续做gerat的工作!谢谢你,戴夫!我不知道这件事。我现在使用方法安全表达式,它的工作方式很有魅力。谢谢你的回答,我真的很感激