1
Я пытаюсь создать сервер с OAuth 2, но у меня есть проблема. Я настроил OAuth, пользователь может разрешить и получить токен, но методы REST всегда доступны, например, пользователь может использовать метод POST, когда они не авторизованы.Настройка OAuth 2 в Java Spring Boot
Как настроить OAuth, чтобы методы REST запускались только тогда, когда пользователь разрешил?
Это как часть моего кода выглядит так (я использовал этот example code):
OAuthConfiguration класса
@Configuration
public class OAuth2ServerConfiguration {
private static final String RESOURCE_ID = "restservice";
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration extends
ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
// @formatter:off
resources
.resourceId(RESOURCE_ID);
// @formatter:on
}
@Override
public void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
.authorizeRequests()
.antMatchers("/users").hasRole("ADMIN")
.antMatchers("/greeting").authenticated();
// @formatter:on
}
}
AuthorizationServerConfiguration класс:
@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
private TokenStore tokenStore = new InMemoryTokenStore();
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Autowired
private CustomUserDetailsService userDetailsService;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints)
throws Exception {
// @formatter:off
endpoints
.tokenStore(this.tokenStore)
.authenticationManager(this.authenticationManager)
.userDetailsService(userDetailsService);
// @formatter:on
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
// @formatter:off
clients
.inMemory()
.withClient("clientapp")
.authorizedGrantTypes("password", "refresh_token")
.authorities("USER")
.scopes("read", "write")
.resourceIds(RESOURCE_ID)
.secret("123456");
// @formatter:on
}
@Bean
@Primary
public DefaultTokenServices tokenServices() {
DefaultTokenServices tokenServices = new DefaultTokenServices();
tokenServices.setSupportRefreshToken(true);
tokenServices.setTokenStore(this.tokenStore);
return tokenServices;
}
}
Rest контроллер:
@RestController
@RequestMapping("/ABC")
final class Controller {
@Autowired
Repository repository;
@RequestMapping(method = RequestMethod.POST)
@ResponseStatus(HttpStatus.CREATED)
int create(@RequestBody @Valid Data myData) {
repository.create(myData);
return 1;
}
@RequestMapping(value = "{number}", method = RequestMethod.GET)
Data findByNumber(@PathVariable("number") String number) {
Data data = repository.findByNumber(number);
return data;
}
@RequestMapping(value = "{number}", method = RequestMethod.PUT)
int update(@RequestBody @Valid Data myData) {
int rows = repository.update(myData);
return 1;
}
@RequestMapping(value = "{number}", method = RequestMethod.DELETE)
int delete(@PathVariable("number") String number) {
repository.delete(serialNumber);
return 1;
}
}
Спасибо, это сработало! Немного не по теме, но знаете ли вы, может ли пароль, введенный пользователем для авторизации, доступен с сервера? – Someone
Я не уверен в ответе на ваш новый вопрос. Зависит, если вы считаете свой ресурсServer и authorizationServer тем же сервером. Серверу ресурсов не нужно знать о полномочиях. Пожалуйста, примите ответ выше, если считаете это правильным. благодаря – sdoxsee