Grails oAuth2 Provider 插件无法对 grant_type 'password' 进行身份验证

标签 grails spring-security oauth-2.0 grails-plugin spring-security-oauth2

我有一个 ios 应用程序,它与在 Grails 上开发的 REST API 进行通信。为了保护 REST API 的安全,我决定使用 oAuth 2.0“资源所有者密码”流程。为了使 grails 应用程序充当 oAuth 2.0 提供程序,我使用以下 http://grails.org/plugin/spring-security-oauth2-provider 对于 id 为 'client' 、secret 为 '1234' 的 Client 和用户名为 'user' 、密码为 'password' 的用户,token 请求如下

POST /oauth2-test/oauth/token HTTP/1.1
Host: 192.168.1.113:8080
Authorization: Basic Y2xpZW50OjEyMzQ=
Cache-Control: no-cache
Content-Type: application/x-www-form-urlencoded

grant_type=password&scope=read&username=user&password=password

收到的回复是

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this  resource"
}

我对 Spring Security 和 oAuth 2.0 提供程序插件的 config.groovy 编辑如下所示

// Added by the Spring Security Core plugin:
grails.plugin.springsecurity.userLookup.userDomainClassName = 'test.User'
grails.plugin.springsecurity.userLookup.authorityJoinClassName = 'test.UserRole'
grails.plugin.springsecurity.authority.className = 'test.Role'
grails.plugin.springsecurity.controllerAnnotations.staticRules = [
    '/':                              ['permitAll'],
    '/index':                         ['permitAll'],
    '/index.gsp':                     ['permitAll'],
    '/assets/**':                     ['permitAll'],
    '/**/js/**':                      ['permitAll'],
    '/**/css/**':                     ['permitAll'],
    '/**/images/**':                  ['permitAll'],
    '/**/favicon.ico':                ['permitAll'],
    '/oauth/authorize.dispatch': ["isFullyAuthenticated() and (request.getMethod().equals('GET') or request.getMethod().equals('POST'))"],
    '/oauth/token.dispatch'    : ["isFullyAuthenticated() and request.getMethod().equals('POST')"]
]

// Added by the Spring Security OAuth2 Provider plugin:
grails.plugin.springsecurity.oauthProvider.clientLookup.className = 'test.Client'
grails.plugin.springsecurity.oauthProvider.authorizationCodeLookup.className = 'test.AuthorizationCode'
grails.plugin.springsecurity.oauthProvider.accessTokenLookup.className = 'test.AccessToken'
grails.plugin.springsecurity.oauthProvider.refreshTokenLookup.className = 'test.RefreshToken'

grails.plugin.springsecurity.providerNames = [
        'clientCredentialsAuthenticationProvider',
        'daoAuthenticationProvider',
        'anonymousAuthenticationProvider',
        'rememberMeAuthenticationProvider'
]
grails.exceptionresolver.params.exclude = ['password', 'client_secret']
grails.plugin.springsecurity.filterChain.chainMap = [
        '/oauth/token': 'JOINED_FILTERS,-oauth2ProviderFilter,-securityContextPersistenceFilter,-logoutFilter,-rememberMeAuthenticationFilter',
        '/api/**': 'JOINED_FILTERS,-securityContextPersistenceFilter,-logoutFilter,-rememberMeAuthenticationFilter',
        '/**': 'JOINED_FILTERS,-statelessSecurityContextPersistenceFilter,-oauth2ProviderFilter,-clientCredentialsTokenEndpointFilter'
]
  • 我做错了什么?我了解 oAuth 2.0 主要用于 授权而不是身份验证。那么我是否必须明确添加 用于身份验证的过滤器?我从 Grails 开始,没有任何 Springs 方面的经验以及有关如何操作的任何帮助?
  • grant_type“密码”是否需要客户端身份验证?资助
    输入“密码”用户身份验证应该不够吗?即使它 需要对客户端进行身份验证,它将使用基本身份验证 据我了解。那么我是否需要明确添加一个基本的 身份验证过滤器?

最佳答案

Spring Security Core 中默认未启用基本身份验证,因此您不能将 client_idclient_secret 放在 Authorization header 中;在这种情况下,只需将它们添加到请求参数中(例如 grant_type)

下面的 CURL 示例应该可以工作:

curl -v -X POST \
-d "grant_type=password" \
-d "client_id=client" \
-d "client_secret=1234" \
-d "scope=read" \
-d "username=user" \
-d "password=password" http://localhost:8080/oauth2-test/oauth/token

{"access_token":"d3eb1c1c-9922-4cfc-87e3-7efca9a8a2f2","token_type":"bearer","refresh_token":"e790efc2-e708-4391-9a7b-e4d86dc70816","expires_in":42545,"scope":"read"}

请注意,OAuth2 需要 HTTPS。如果您使用 -https 选项 (grails run-app -https) 运行 Grails,则命令如下:

curl -v --insecure -X POST \
-d "grant_type=password" \
-d "client_id=client" \
-d "client_secret=1234" \
-d "scope=read" \
-d "username=user" \
-d "password=password" https://localhost:8443/oauth2-test/oauth/token

当我省略请求参数client_id时,我得到以下回复:

{"error":"unauthorized","error_description":"Full authentication is required to access this resource"}

更新

如果您希望能够对 client_id 使用 HTTP 基本身份验证,仅在 Spring Security Core(在 Config.groovy 中)中启用基本身份验证并不是解决方案,因为 BasicAuthenticationFilter 未以适合 oauth2 的方式初始化。当凭据正确或省略时,一切都会按预期工作,但当提供凭据但错误时,您将收到 HTML 响应。

当前该项目的 Github 页面上存在一个问题,其中讨论了处理基本身份验证的正确方法:

https://github.com/bluesliverx/grails-spring-security-oauth2-provider/issues/65

关于Grails oAuth2 Provider 插件无法对 grant_type 'password' 进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28436720/

上一篇:android - 创建 Activity 时崩溃

下一篇:github - 如何使用 Azure Pipelines 在 Github 上创建自动拉取请求?

相关文章:

unit-testing - 在 grails 中,如何测试具有关联的 where 查询?

java - LDAP异常 : Invalid Credentials (49) Invalid Credentials with grails

java - 自定义 Spring Security OAuth2 错误输出(未授权)

Grails Spring Security Rest 400 BAD REQUEST ERROR

oauth-2.0 - IdentityServer3 OAuth2 LinkedIn 外部登录返回访问被拒绝

grails - 由于 org.sonar.plugins.surefire.api.SurefireUtils.getReportsDirectory(Lorg/sonar/api/resources/Project;)Ljava/io/File 导致 Sonar 失败

python - Django 与 Pylons

java - 登录成功后重定向到原始页面返回原始数据而不是 URL 名称

asp.net - AspNet.Security.OpenIdConnect 与 OAuthAuthorizationProvider

oauth-2.0 - Oauth2.0 Google API token 问题 - 错误 : redirect_uri_mismatch

©2024 IT工具网  联系我们