如何在Spring Boot 2 oauth2中获得令牌?

时间:2018-12-11 09:57:54

标签: java spring-boot spring-security spring-security-oauth2

我是Spring Security oauth2的新手。我要运行此authorization server sample code。我成功运行了它,为了获得令牌,我将邮递员设置为如下,然后发送请求:

Basic Auth grant types

在这种情况下,我输入了带有其密码的客户机ID,但是我想在没有口令的情况下登录。例如,我的用户发送用户名,密码和客户端ID,然后获取令牌。但是我发送的每个请求,服务器都返回401响应。在Spring boot 2 oauth 2中,我该怎么做?

2 个答案:

答案 0 :(得分:8)

1)要获取访问令牌,您必须使用以下请求:

curl --user client:secret \
  -X POST http://localhost:8080/oauth/token \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=password&username=username&password=password&scope=*" \

使用基本身份验证和您的应用程序凭据(如果需要,可以避免秘密)。您必须在请求正文中传递的用户名及其密码以及grant_type字段中的'password'值。

作为回应,您将获得访问和刷新令牌,例如:

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImV4cCI6MTU0Nzc2NDIzOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiYzk1YzkzYTAtMThmOC00OGZjLWEzZGUtNWVmY2Y1YWIxMGE5IiwiY2xpZW50X2lkIjoiY2xpZW50In0.RWSGMC0w8tNafT28i2GLTnPnIiXfAlCdydEsNNZK-Lw",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImF0aSI6ImM5NWM5M2EwLTE4ZjgtNDhmYy1hM2RlLTVlZmNmNWFiMTBhOSIsImV4cCI6MTU0Nzc2NzcxOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiZDRhNGU2ZjUtNDY2Mi00NGZkLWI0ZDgtZWE5OWRkMDJkYWI2IiwiY2xpZW50X2lkIjoiY2xpZW50In0.m7XvxwuPiTnPaQXAptLfi3CxN3imfQCVKyjmMCIPAVM",
    "expires_in": 119,
    "scope": "*"
    "jti": "c95c93a0-18f8-48fc-a3de-5efcf5ab10a9"
}

2)然后,您可以使用该访问令牌来获取对服务器应用程序资源的访问权限。在这种情况下,您需要 Bearer Token 身份验证类型和访问令牌:

curl -X GET http://localhost:8080/demo \
  -H 'Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImV4cCI6MTU0Nzc2NDIzOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiYzk1YzkzYTAtMThmOC00OGZjLWEzZGUtNWVmY2Y1YWIxMGE5IiwiY2xpZW50X2lkIjoiY2xpZW50In0.RWSGMC0w8tNafT28i2GLTnPnIiXfAlCdydEsNNZK-Lw'

3)要再次刷新令牌,您必须再次使用具有客户端凭据的基本身份验证,但是在这种情况下,您需要将“ refresh_token”作为grant_type

curl --user client:secret \
  -X POST http://localhost:8080/oauth/token \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'grant_type=refresh_token&scope=*&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2VtYWlsIjoidXNlckBtYWlsLmNvbSIsInVzZXJfbmFtZSI6InVzZXIiLCJzY29wZSI6WyIqIl0sImF0aSI6ImM5NWM5M2EwLTE4ZjgtNDhmYy1hM2RlLTVlZmNmNWFiMTBhOSIsImV4cCI6MTU0Nzc2NzcxOCwiYXV0aG9yaXRpZXMiOlsiQURNSU4iXSwianRpIjoiZDRhNGU2ZjUtNDY2Mi00NGZkLWI0ZDgtZWE5OWRkMDJkYWI2IiwiY2xpZW50X2lkIjoiY2xpZW50In0.m7XvxwuPiTnPaQXAptLfi3CxN3imfQCVKyjmMCIPAVM'

每次访问令牌过期时,您都必须使用第三个请求对其进行刷新。然后,您将能够再次访问资源。

其他信息

1)我对how to build the simple OAuth2 app with JWT and custom claims的回答

2)Related demo application

3)Related Postman collection

答案 1 :(得分:0)

OAuth 2.0规范描述了客户端应用程序获得访问令牌(代表用户对客户端访问其数据的许可)的许多授权(“方法”)。

Spring OAuth2预定义的授予类型:

  • ClientCredentialsTokenGranter
  • RefreshTokenGranter
  • AuthorizationCodeTokenGranter
  • ImplicitTokenGranter
  • ResourceOwnerPasswordTokenGranter(您在示例中使用的密码授予类型)

如果要更改令牌获取逻辑,可以使用自定义的 TokenGranter

其他:

OAuth 2 Develpers Guide

相关问题
最新问题