Spring Security 和 OAuth2 生成具有自定义授权类型的令牌

【问题标题】:Spring Security and OAuth2 generate token with custom grant typeSpring Security 和 OAuth2 生成具有自定义授权类型的令牌
【发布时间】:2015-05-16 01:14:59
【问题描述】:

我正在使用 Spring+Oauth2 来保护 Web 服务,并且我添加了自定义授权类型 (custom-grant):

<bean id="myTokenGranter" class="com.example.oauth2.MyTokenGranter" />

<oauth:authorization-server client-details-service-ref="client-details-service" token-services-ref="tokenServices">
    <oauth:refresh-token/>
    <oauth:password/>
    <oauth:custom-grant token-granter-ref="myTokenGranter" />
</oauth:authorization-server>

Spring 调用实现就好了。但是我不知道我应该如何在这里实际生成一个令牌。我看到他们使用了一个名为“RandomValueStringGenerator”的类,但我不确定是否没有更好的方法,而且我不知道如何生成一个“好”的令牌,它应该有多长,或者 spring 是否检查令牌的唯一性实际上等等。有没有办法可以在这里调用 Spring 自己的生成器部分?

现在这是我的 tokengranter 类:

public class MyTokenGranter implements TokenGranter {

private RandomValueStringGenerator generator = new RandomValueStringGenerator();

@Override
public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
    //...logic added here later
    return new DefaultOAuth2AccessToken(generator.generate());
}

}

我找不到一个很好的例子,并且在 spring ouath2 源代码中只有一个实现了一半的测试 tokengranter。

【问题讨论】:

  • 还有 org.springframework.security.oauth2.provider.token.AbstractTokenGranter 我可以扩展,但我不知道如何在我的 xml 配置中传递构造函数参数?

标签: java spring spring-security spring-security-oauth2


【解决方案1】:

好的,所以这实际上可以用org.springframework.security.oauth2.provider.token.AbstractTokenGranter 来完成,要么复制它,要么尝试传递正确的构造函数。我只是将它发布给任何有同样问题的人。你也可以扩展 AbstractTokenGranter 但我没有通过正确的构造函数

这是我的实现:

public class MyTokenGranter implements TokenGranter {

    @Autowired
    private AuthorizationServerTokenServices tokenService;

    @Autowired
    private ClientDetailsService clientDetailsService;
    
    @Autowired
    private DefaultOAuth2RequestFactory defaultOauth2RequestFactory;
    
    private String grantType;
    
    @Override
    public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
        if (!this.grantType.equals(grantType)) {
            return null;
        }
        String clientId = tokenRequest.getClientId();
        ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
        validateGrantType(grantType, client);
        return getAccessToken(client, tokenRequest);
    }
    
    protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
        return tokenService.createAccessToken(getOAuth2Authentication(client, tokenRequest));
    }
    
    protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
        OAuth2Request storedOAuth2Request = defaultOauth2RequestFactory.createOAuth2Request(client, tokenRequest);
        return new OAuth2Authentication(storedOAuth2Request, null);
    }
    
    protected void validateGrantType(String grantType, ClientDetails clientDetails) {
        Collection<String> authorizedGrantTypes = clientDetails.getAuthorizedGrantTypes();
        if (authorizedGrantTypes != null && !authorizedGrantTypes.isEmpty()
                && !authorizedGrantTypes.contains(grantType)) {
            throw new InvalidClientException("Unauthorized grant type: " + grantType);
        }
    }

    public String getGrantType() {
        return grantType;
    }

    public void setGrantType(String grantType) {
        this.grantType = grantType;
    }
}

Xml 配置:

<bean id="myTokenGranter" class="com.example.MyTokenGranter">
  <property name="grantType" value="custom-grant" />
</bean>
<oauth:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices">
    <oauth:refresh-token/>
    <oauth:password/>
    <oauth:custom-grant token-granter-ref="myTokenGranter" />
</oauth:authorization-server>

【讨论】:

  • 我知道这是超级旧的,所以这是一个很长的镜头。但是你有没有机会知道如何创建我自己的 Granter 来覆盖 Spring 提供的一个?我想创建自己的客户凭证授予者。我想不通。
  • 对不起,我早就离开了这个项目或一般的 Spring
  • 想通了。值得一试。从春天开始,你对它做了什么?只是好奇
  • 嗯,我现在是一家公司的 CTO,所以我同时处理很多事情,但我们也使用 spring(启动)。那时我继续做 Android/IOS 开发几年。 Spring 没有问题,我们现在只是使用基于注解的配置。
  • 恭喜升级。我将基于注释的 Java Config 用于我的 Spring Boot 内容。我已经深入 Java 20 多年了,只是想知道人们如何转向技术方面
【解决方案2】:

更多仅供参考,但如果您扩展 AbstractTokenGranter,则可以使用构造函数参数。例如:

public class MyTokenGranter extends AbstractTokenGranter
{
    private static final String GRANT_TYPE = "custom-grant";

    protected MyTokenGranter(
            AuthorizationServerTokenServices tokenServices,
            ClientDetailsService clientDetailsService )
    {
        super( tokenServices, clientDetailsService, GRANT_TYPE );
    }

    @Override
    protected OAuth2Authentication getOAuth2Authentication(AuthorizationRequest clientToken) 
    {
        throw new RuntimeException( "Not implemented" );
    }
}


<bean id="myTokenGranter" class="com.example.MyTokenGranter">
    <constructor-arg ref="tokenServices"/>
    <constructor-arg ref="clientDetailsService"/>
</bean>

【讨论】:

    猜你喜欢
    • 2018-05-03
    • 2021-09-19
    • 2016-06-09
    • 2015-08-26
    • 2017-05-03
    • 2019-12-21
    • 2020-07-20
    • 2018-08-18
    • 2013-02-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode