Spring security autorisierungsverfahren OAuth2

Kann mir jemand sagen, welche http-GET-oder POST-Methoden soll ich nacheinander aufrufen, um zu autorisieren und zu meiner apache cxf web-services und erhalten Sie Zugang zu Ressourcen?
Ich versuchte zu rufen:

http://localhost:8080/oauth/token?client_id=client1&client_secret=client1&grant_type=password&username=client1&password=client1

und alles, was ich bekommen kann, ist, token response:

{"access_token":"7186f8b2-9bae-48b6-90c2-033a4476c0fc","token_type":"bearer","refresh_token":"d7fe8cda-812b-4b3e-9ce7-b15067e001e4","expires_in":298653}

aber was ist der nächste Schritt, nachdem ich dieses token? Wie kann ich den Benutzer zu authentifizieren und erhalten Zugang zu Ressourcen in der url /resources/MyResource/getMyInfo erfordert Benutzer mit der Rolle ROLE_USER ?
Danke.

Habe ich Folgendes servlet config:

<http pattern="/oauth/token" create-session="stateless"
      authentication-manager-ref="authenticationManager"
      xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY"/>
    <anonymous enabled="false"/>
    <http-basic entry-point-ref="clientAuthenticationEntryPoint"/>
    <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER"/>
</http>

<http pattern="/resources/**" create-session="never"
      entry-point-ref="oauthAuthenticationEntryPoint"
      xmlns="http://www.springframework.org/schema/security">
    <anonymous enabled="false"/>
    <intercept-url pattern="/resources/MyResource/getMyInfo" access="ROLE_USER" method="GET"/>
    <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER"/>
    <access-denied-handler ref="oauthAccessDeniedHandler"/>
</http>

<http pattern="/logout" create-session="never"
      entry-point-ref="oauthAuthenticationEntryPoint"
      xmlns="http://www.springframework.org/schema/security">
    <anonymous enabled="false"/>
    <intercept-url pattern="/logout" method="GET"/>
    <sec:logout invalidate-session="true" logout-url="/logout" success-handler-ref="logoutSuccessHandler"/>
    <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER"/>
    <access-denied-handler ref="oauthAccessDeniedHandler"/>
</http>

<bean id="logoutSuccessHandler" class="demo.oauth2.authentication.security.LogoutImpl">
    <property name="tokenstore" ref="tokenStore"/>
</bean>

<bean id="oauthAuthenticationEntryPoint"
      class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
</bean>

<bean id="clientAuthenticationEntryPoint"
      class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
    <property name="realmName" value="springsec/client"/>
    <property name="typeName" value="Basic"/>
</bean>

<bean id="oauthAccessDeniedHandler"
      class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler">
</bean>

<bean id="clientCredentialsTokenEndpointFilter"
      class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
    <property name="authenticationManager" ref="authenticationManager"/>
</bean>

<authentication-manager alias="authenticationManager"
                        xmlns="http://www.springframework.org/schema/security">
    <authentication-provider user-service-ref="clientDetailsUserService"/>
</authentication-manager>

<bean id="clientDetailsUserService"
      class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
    <constructor-arg ref="clientDetails"/>
</bean>

<bean id="clientDetails" class="demo.oauth2.authentication.security.ClientDetailsServiceImpl"/>

<authentication-manager id="userAuthenticationManager"
                        xmlns="http://www.springframework.org/schema/security">
    <authentication-provider ref="customUserAuthenticationProvider">
    </authentication-provider>
</authentication-manager>

<bean id="customUserAuthenticationProvider"
      class="demo.oauth2.authentication.security.CustomUserAuthenticationProvider">
</bean>

<oauth:authorization-server user-approval-handler-ref="userApprovalHandler"
        client-details-service-ref="clientDetails" token-services-ref="tokenServices">
    <oauth:authorization-code/>
    <oauth:implicit/>
    <oauth:refresh-token/>
    <oauth:client-credentials />
    <oauth:password authentication-manager-ref="authenticationManager"/>
</oauth:authorization-server>

<oauth:resource-server id="resourceServerFilter"
                       resource-id="springsec" token-services-ref="tokenServices"/>

<bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.InMemoryTokenStore"/>

<bean id="tokenServices"
      class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
    <property name="tokenStore" ref="tokenStore"/>
    <property name="supportRefreshToken" value="true"/>
    <property name="accessTokenValiditySeconds" value="300000"/>
    <property name="clientDetailsService" ref="clientDetails"/>
</bean>

<bean id="userApprovalHandler"
      class="org.springframework.security.oauth2.provider.approval.TokenServicesUserApprovalHandler">
    <property name="tokenServices" ref="tokenServices" />
</bean>

<bean id="MyResource" class="demo.oauth2.authentication.resources.MyResource"/>

und web.xml:

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID"
         version="2.5">
    <display-name>Spring Secure REST</display-name>
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring-servlet.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
    </listener>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>contextAttribute</param-name>
            <param-value>org.springframework.web.servlet.FrameworkServlet.CONTEXT.spring</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <servlet>
        <servlet-name>REST Service</servlet-name>
        <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
        <init-param>
            <param-name>com.sun.jersey.config.property.packages</param-name>
            <param-value>demo.oauth2.authentication.resources</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>REST Service</servlet-name>
        <url-pattern>/resources/*</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>spring</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>spring</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>
</web-app>

AKTUALISIERT:
Gefunden Beispiel arbeiten hier http://software.aurorasolutions.org/how-to-oauth-2-0-with-spring-security-2/ vielleicht wird nützlich sein für diejenigen, die ähnliches problem

InformationsquelleAutor Shendor | 2014-03-31

5

Müssen Sie zunächst erstellen Sie eine OAuth2AccessToken, die Sie dann verwenden können, um zu bauen ein OAuth2RestTemplate, die dann verwendet werden können, führen Sie authentifiziert GET, POST, Anrufe.

Hier ist ein Beispiel, wie Sie vielleicht setup ein OAuth2RestTemplate:
```
ResourceOwnerPasswordAccessTokenProvider provider = new ResourceOwnerPasswordAccessTokenProvider();
ResourceOwnerPasswordResourceDetails resource = new ResourceOwnerPasswordResourceDetails();
resource.setClientAuthenticationScheme(AuthenticationScheme.form);
resource.setAccessTokenUri("accessTokenURI");
resource.setClientId("clientId");
resource.setGrantType("password");
resource.setClientSecret("clientSecret");
resource.setUsername("userName");
resource.setPassword("password");
OAuth2AccessToken accessToken = provider.obtainAccessToken(getResource(), new DefaultAccessTokenRequest());
OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(getResource(), new DefaultOAuth2ClientContext(accessToken));
```
- Sry, ich bin nicht sehr gut im Frühling Sicherheit. Könnten Sie bitte beschreiben vollen Gange: Wo muss ich die einfügen dieser code? Wie die Konfiguration in spring-security context-xml Konfiguration? Welche URL soll ich verwenden, um die Authentifizierung eines Benutzers?
- Wie beabsichtigen Sie Ihre rest-api zugegriffen werden? Wenn Sie eine java-client-Anwendung, dann den code, den ich zur Verfügung gestellt haben, ist ein Beispiel, wie man eine authentifizierte OAuth-token von Ihrem service, der es baut eine OAuthRestTemplate, so dass alle nachfolgenden Anfragen pass mit der OAuth-token ermöglichen sollte, die Sie für den Zugriff auf die geschützten Ressourcen.
- Wenn Sie wollen einfach nur zu Ihrem hit-Dienst über den browser, dann müssen Sie passieren die oauth-token-string, der zurückgegeben wird, von Ihrem ursprünglichen Antrag zusammen mit allen nachfolgenden URLs, die Sie versuchen, zuzugreifen. Die Authentifizierung der Benutzer erfolgt in den ersten Aufruf an den Dienst, um die oauth-token, wenn der Benutzer nicht erfolgreich authentifizieren, die Sie nicht haben, erhalten Sie ein access-token in der Antwort.
- Ich beabsichtige zu verwenden, 2-clients: java, spring mvc und .net, so dass ist, warum ich brauche, alle notwendigen URLs, http-Anforderungen, um sich zu authentifizieren und erhalten Zugang zu Ressourcen.
- "Sie haben, um die oauth-token-string, der zurückgegeben wird, von Ihrem ursprünglichen Antrag zusammen mit allen nachfolgenden URLs, die Sie versuchen, Zugriff auf" --- ich habe eine Menge von URL (in der Produktion, nicht in diesem Beispiel-app) und übergeben Sie das token an jede url, die nicht funktioniert für mich.
- Vielleicht habe ich nicht sehr gut erklären, so werde ich versuchen Sie es erneut. Der ganze Punkt von oauth ist, dass Sie authentifizieren sich einmal zu einem vertrauenswürdigen token, die dann verwendet werden können, um zu beweisen, wer Sie sind, während alle nachfolgenden http-Anforderungen. Damit dies funktioniert, müssen Sie passieren die oauth-token entweder in den header oder body einer Anfrage auf eine geschützte url, die url ' s sich nicht zu ändern brauchen Sie nur noch pass-zusätzliche Daten in Ihrer Anfrage. Wenn dieses nicht ist, was Sie wollen, dann oauth ist möglicherweise nicht für Sie. Ich bin nicht ein .Net user also kann ich nicht geben Ihnen einen .Net-version von meinem Beispiel, aber eine schnelle google sollte sich etwas finden
- Ja, jetzt ist es klar. Dank
- Ich vergaß zu Fragen, eine andere Sache - was ist der Zweck /oauth/Autorisierung der http-Anfrage und in welchem Fall sollte ich es verwenden?
- Sind Sie Fragen, wenn Sie sollten die Verwendung von oauth im Allgemeinen oder nur auf eine bestimmte /oauth/autorisieren url?
- Ich Frage, Wann sollte ich verwenden nur eine bestimmte /oauth/autorisieren url?
InformationsquelleAutor jcmwright80

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.