我已将spring oauth2添加到我的宁静服务中。大多数服务都是由我自己的门户使用的,因此获取令牌然后调用api就可以了。但是,我已经暴露了一些必须在没有此令牌概念的情况下调用的Web服务。那些消费者有用户名和密码。
最好的例子是Swagger实现。打开swagger页面的地方应该通过摘要而不是oauth令牌进行身份验证。
下面的代码更改我做了但它不起作用。 我相信,在这种情况下我不需要从资源服务器调用oauth服务器。所以只需在资源服务器中创建以下代码。但是看到问题就像验证页面接受了我的凭据后再次重新路由/重定向到同一个身份验证页面。
请帮忙。
@Configuration
@EnableResourceServer
public class ResourceServerImpl extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.anonymous().disable().requestMatchers().antMatchers("/**").and().authorizeRequests()
.antMatchers(HttpMethod.POST, "/url1/path1/path2").hasAnyAuthority( "FUNCTION_FN1")
.antMatchers(HttpMethod.GET, "/url2/path1/path2").hasAnyAuthority( "FUNCTION_FN2")
.antMatchers("/swagger-ui.html").hasRole("USER")
.anyRequest().authenticated()
.and().formLogin().and().httpBasic()
.and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());
}
}
@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
protected void configureGlobal(AuthenticationManagerBuilder auth) throws Exception{
auth.inMemoryAuthentication().withUser("user").password("password").roles("USER");
}
}
更新 我不认为这可以使用DIGEST进行一些身份验证,有些人使用OAUTH。所以目前我制作的swagger url也要用oauth令牌进行身份验证,而不是消化支持。
答案 0 :(得分:2)
是的,绝对可以在同一个应用程序中配置多个授权机制。应为每种机制提供不同的WebSecurityConfigurerAdapter
实例。
@EnableResourceServer
和@EnableAuthorizationServer
提供相应的oauth适配器。 ApiSecurityConfiguration
为基本身份验证提供适配器。
以下是basic
和oauth2
的最小工作样本:
@SpringBootApplication
public class TestApp {
@RestController
public static class Endpoints {
// doesn't require any authentication
@RequestMapping("/test")
public String test() {
return "no auth";
}
// requires basic authentication
@RequestMapping("/api/test")
public String apiTest() {
return "basic auth";
}
// requires oauth authentication
@RequestMapping("/oauth/test")
public String oauthTest() {
return "oauth";
}
}
@Configuration
@EnableWebSecurity
public static class ApiSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers().antMatchers("/api/**")
.and()
.authorizeRequests().antMatchers("/api/**").hasRole("USER")
.and()
.httpBasic();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user")
.password("password")
.roles("USER");
}
}
@Configuration
@EnableAuthorizationServer
public static class AuthServerConfiguration extends AuthorizationServerConfigurerAdapter {
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("test")
.secret("test")
.authorizedGrantTypes("client_credentials")
.authorities("USER")
.scopes("read", "write", "test")
.resourceIds("oauth2-resource")
.accessTokenValiditySeconds(120);
}
}
@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.requestMatchers().antMatchers("/oauth/**")
.and()
.authorizeRequests().antMatchers("/oauth/**").authenticated();
}
}
public static void main(String[] args) {
SpringApplication.run(TestApp.class, args);
}
}
pom.xml
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
<dependencies>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
</dependencies>