Spring Oauth2 - 每个客户端ID的多个令牌

时间:2015-08-17 13:15:59

标签: spring-security-oauth2

我们使用spring-oauth2实现了一个服务器API。我注意到,即使从单独的设备调用,服务器也会为每个用户/客户端ID组合生成相同的令牌。这会导致问题,因为我的客户端可以运行多个实例:例如android和ios应用程序。我需要一种方法将令牌链接到特定实例,而不是重复使用相同的令牌。

需要这样的示例是GCM(或推送通知),其中API需要知道它正与哪个实例进行通信。

这是我目前的春季配置:

<http pattern="/oauth/token" create-session="stateless"
    authentication-manager-ref="clientAuthenticationManager"
    entry-point-ref="oauthAuthenticationEntryPoint" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" />
    <anonymous enabled="false" />
    <http-basic entry-point-ref="oauthAuthenticationEntryPoint" />
    <!-- include this only if you need to authenticate clients via request parameters -->
    <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
    <access-denied-handler ref="oauthAccessDeniedHandler" />
</http>
<oauth:authorization-server
    client-details-service-ref="mongoclientDetails" token-services-ref="tokenServices"
    user-approval-handler-ref="userApprovalHandler">
    <!-- authorization-endpoint-url="/oauth/authorize"  token-endpoint-url="/oauth/token"> -->
    <oauth:authorization-code />
    <oauth:implicit />
    <oauth:refresh-token />
    <oauth:client-credentials />
    <oauth:password />
</oauth:authorization-server>

我不愿意为每个客户提供不同的ID,因为这是不切实际的。有什么想法吗?

2 个答案:

答案 0 :(得分:4)

因此DefaultAuthenticationKeyGeneration使用client_idscope创建key,如果在获取令牌的请求中匹配,则会提供先前生成的令牌。所以在你的情况下,你可以拥有ios,android和范围的设备ID。

这是我的代码。

@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

.....

@Override
public void configure(ClientDetailsServiceConfigurer clients) {
    clients.inMemory()
    .withClient("my-trusted-client-with-secret")
        .authorizedGrantTypes("client_credentials")
        .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
        //.scopes("read", "write", "trust")
        .secret("somesecret")
    .accessTokenValiditySeconds(3600);
}

}

测试

» curl -H "Accept: application/json" my-trusted-client-with-secret:somesecret@localhost:8080/auth/oauth/token -d grant_type=client_credentials -d custid=1 -d siteid=2D -d scope="y"
{"access_token":"cust:site1:2D","token_type":"bearer","expires_in":3282,"scope":"y"}%                                               

» curl -H "Accept: application/json" my-trusted-client-with-secret:somesecret@localhost:8080/auth/oauth/token -d grant_type=client_credentials -d custid=1 -d siteid=3D -d scope="z"
{"access_token":"cust:site1:3D","token_type":"bearer","expires_in":3290,"scope":"z"}%                                               

» curl -H "Authorization: Bearer cust:site:3D" http://localhost:8080/dtn-auth/home
{"error":"invalid_token","error_description":"Invalid access token: cust:site:3D"}%                                                       

» curl -H "Authorization: Bearer cust:site1:3D" http://localhost:8080/dtn-auth/home
Hello World%                                                                                                                              

» curl -H "Authorization: Bearer cust:site1:2D" http://localhost:8080/dtn-auth/home
Hello World%

如您所见,我能够为同一个client_id生成多个令牌,并且这两个令牌都经过身份验证,可以从资源服务器访问资源。

答案 1 :(得分:0)

我认为你可以在你的请求中获取设备ID并为每个id生成令牌,或者你可以得到一个标志,用于确定调用api的设备类型(Android,IOS)并为每个平台生成令牌。

相关问题
最新问题