我正在尝试理解和实现新的REST服务器和现有的客户端应用程序之间的客户端凭证流。我已经设置了像this这样的spring-security OAuth2。从到目前为止的理解来看,我的服务器现在应该支持以下请求:
$ curl -X -v -d 'client_id=the_client&client_secret=secret&grant_type=client_credentials' -X POST "http://localhost:9090/oauth/token"
但我明白了
InsufficientAuthenticationException: There is no client authentication
由此处的
Principal(spring-security代码)引起的null引起:@FrameworkEndpoint
@RequestMapping(value = "/oauth/token")
public class TokenEndpoint extends AbstractEndpoint {
@RequestMapping
public ResponseEntity<OAuth2AccessToken> getAccessToken(Principal principal,
@RequestParam("grant_type") String grantType, @RequestParam Map<String, String> parameters) {
if (!(principal instanceof Authentication)) {
throw new InsufficientAuthenticationException(
如此看来,我首先需要针对服务器进行身份验证。但这不是我想做的ojit_rstrong的。我希望我的两个服务器使用共享 secret 互相通信。 OAuth提供程序服务器应应请求向(受信任的)客户端服务器提供访问 token ,以便客户端服务器随后可以使用该 token 来访问服务器上的所有REST资源。这应该保护REST资源免受外部访问。
稍后,我想将选定的资源提供给第三方,并最终为服务器到服务器的通信实现更细粒度的安全性。但是目前,我需要保护REST服务器免受外部访问。
看起来我可能对整个客户端凭据流程或那里的spring-security应用存在一些误解,因此请您对其进行任何澄清。
最佳答案
您没有向授权服务器认证客户端。
您需要执行以下操作:
curl --user the_client:secret --data "grant_type=client_credentials" http://localhost:9090/oauth/token
这是向授权服务器验证客户端,然后指定grant_type和其他参数。这将返回类型为“bearer”的访问 token ,其范围由oauth客户端详细信息确定。获得 token 后,可以通过设置Authorization header 访问 protected 资源:
curl -H "Authorization: Bearer <accessToken>" <resourceUrl>