【发布时间】:2013-05-12 20:57:23
【问题描述】:
使用 spring-security-oauth2 保护我的资源免受可以充当授权服务器的 SSO 端点的影响。当文档说明时我有点困惑:
OAuth 2.0 中的提供者角色实际上分为授权服务和资源服务,虽然它们有时驻留在同一个应用程序中,但使用 Spring Security OAuth,您可以选择将它们拆分为两个应用程序,也可以拥有多个资源共享授权服务的服务。
但我认为我没有找到这种情况的例子。在 sparklr/tonr 中,授权服务器和资源服务器位于同一个应用程序中。我在搜索中看到的唯一示例是this spring-servlet.xml,它需要ResourceServerTokenServices 的this 自定义实现才能工作。
如果可能的话,我想避免编写ResourceServerTokenServices 的自定义实现。是否有另一种方法可以在资源服务器中支持外部授权服务器?大致如下:
<bean class="com.example.ExternalAuthorizationServerTokenServices"
p:remote-url="https://my-oauth-compatible-sso.com"
p:token-endpoint="/oauth/access_token"
p:authorize-endpoint="/oauth/authorize" />
这可能吗?
*编辑:我将添加它作为一种解决方法(或者这可能是预期的解决方案)我正在使用 jdbc 令牌存储并依赖于两个服务器碰巧都可以访问该数据库的事实。
【问题讨论】:
-
结果如何?我开始面临同样的问题,任何建议将不胜感激。
-
结果正是我想要的。只要您为资源服务器和授权服务器指定一个指向相同
DataSource的JdbcTokenStore,它似乎就可以正常工作。 -
我已经分离了认证服务器和资源服务器。测试用例虽然不完整。你可以在这里找到它github.com/nareshbafna/oauth2
-
我认为只有当您是通过 facebook 或 google 进行身份验证的用户时,您才应该定义另一个授权服务器
-
我也在寻找拆分授权服务器和资源服务器的正确方法,尽管文档并未涵盖有关它的所有内容。如果有人有任何示例或来源,将不胜感激。