Spring Boot Rest-service mit oAuth2 Anmeldeinformationen aus der Datenbank

Könnte jemand bitte helfen Sie mir mit einem Beispiel für eine Spring-Boot-Anwendung, enthält einen Rest-Dienst mit den Endpunkten geschützt durch das Frühjahr-Sicherheit mit oAuth2 mit Benutzer-Anmeldedaten aus einer MySQL-Datenbank?

InformationsquelleAutor Hardy Le Roux | 2015-02-09
  1. 6

    Wie wäre es dieses: https://github.com/spring-projects/spring-security-oauth/tree/master/tests/annotation/jdbc (es ist nicht MySQL, sondern es ist von JDBC, so ist die transformation trivial)?

    • Danke Dave. Ich bin noch ganz neu mit spring security. Spring boot macht es super einfach, um eine RESTful-Dienst, aber ich bin immer noch unklar, mit der Implementierung von Sicherheit mit oAuth2 und Datenbank-Anmeldeinformationen. Ich sah einige pre-Spring-Boot-Projekte, die erstellt token und refresh der Tabellen in der Datenbank. Ist dies nicht der Brauch nicht mehr? github.com/royclarkson/spring-rest-service-oauth verwendet die in-memory-Authentifizierung. Ist, die bevorzugt über die Speicherung der Token in der DB?
    • Dieser link enthält SQL-Dateien für das schema, das Sie erwähnt (die Ausführung Inbetriebnahme für die in-memory-Datenbank, aber Sie können ausführen, Sie sich für mysql). Roy ' s Beispiel ist ähnlich (und ebenso minimal), aber eine in-memory-Benutzer-Speicher offensichtlich nicht nützlich zu sein in der Produktion für die meisten Systeme.
    InformationsquelleAutor Dave Syer
  2. 0

    Entnehmen Sie bitte https://github.com/royclarkson/spring-rest-service-oauth/
    und führen Sie folgende änderungen, verwendet Es die primäre Datenquelle definiert in der Anwendung.Eigenschaften,

    @Configuration
public class OAuth2ServerConfiguration {

    private static final String RESOURCE_ID = "rest_api";

    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends
            ResourceServerConfigurerAdapter {

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            resources.resourceId(RESOURCE_ID);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                    .antMatchers("/users").hasRole("ADMIN")
                    .antMatchers("/review").authenticated()
                    .antMatchers("/logreview").authenticated()
                    .antMatchers("/oauth/token").authenticated()
                    .and()
                    .csrf()
                    .csrfTokenRepository(csrfTokenRepository()).and()
                    .addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
                    ;
            }

            private Filter csrfHeaderFilter() {
                return new OncePerRequestFilter() {

                    @Override
                    protected void doFilterInternal(HttpServletRequest request,
                            HttpServletResponse response, FilterChain filterChain)
                            throws ServletException, IOException {

                        CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
                                .getName());
                         if (csrf != null) {
                            Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
                            String token = csrf.getToken();
                            if (cookie == null || token != null
                                    && !token.equals(cookie.getValue())) {
                                cookie = new Cookie("XSRF-TOKEN", token);
                                cookie.setPath("/");
                                response.addCookie(cookie);
                            }
                        }
                        filterChain.doFilter(request, response);
                    }
                };
            }
            private CsrfTokenRepository csrfTokenRepository() {
                HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
                repository.setHeaderName("X-XSRF-TOKEN");
                return repository;
            }
        }


    @Configuration
    @EnableAuthorizationServer
    protected static class AuthorizationServerConfiguration extends
            AuthorizationServerConfigurerAdapter {


        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;

        @Autowired
        DataSource dataSource;


        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints)
                throws Exception {

            endpoints
                .tokenStore(new JdbcTokenStore(dataSource))
                .authenticationManager(this.authenticationManager);

        }

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients
                .jdbc(dataSource);
        }

        @Bean
        @Primary
        public DefaultTokenServices tokenServices() {
            DefaultTokenServices tokenServices = new DefaultTokenServices();
            tokenServices.setSupportRefreshToken(true);
            tokenServices.setAccessTokenValiditySeconds(300);
            tokenServices.setRefreshTokenValiditySeconds(6000);
            tokenServices.setTokenStore(new JdbcTokenStore(dataSource));
            return tokenServices;
        }


    }
}
    • Hallo, ich bin neu hier, aber für einige Gründe, warum ich nicht Arbeit für POST-Anfragen. {"error":"access_denied","error_description":"Erwartet CSRF-token nicht gefunden. Hat Ihre Sitzung abgelaufen?"} Es funktioniert mit GET-Methoden
    • habe das gleiche problem, hast du eine Lösung gefunden?
    InformationsquelleAutor kaspisbest
Schreibe einen Kommentar