Printemps de Sécurité OAuth2 pure serveur de ressources

Nous avons déjà une OAuth2 serveur d'autorisation mis en place, j'ai donc besoin de créer une ressource correspondant server (serveur distinct). Nous avons l'intention d'utiliser le Printemps de Sécurité OAuth2 projet. Leur documentation pour la configuration d'un serveur de ressources:

https://github.com/spring-projects/spring-security-oauth/wiki/oAuth2#resource-server-configuration

token-services-ref doit pointer vers le jeton de manutention des grains. Cependant, il semble que le jeton de la manipulation se fait par le serveur lui-même, même si c'est le serveur de ressources. Il ne semble pas être tout à distance de services de jeton de classe ou de toute configuration liée à un serveur distant. Ceci est en contraste avec la CloudFoundary SAU (https://github.com/cloudfoundry/uaa/blob/master/samples/api/src/main/webapp/WEB-INF/spring-servlet.xml) qui a:

<bean id="tokenServices"
  class="org.cloudfoundry.identity.uaa.oauth.RemoteTokenServices">
  <property name="checkTokenEndpointUrl" value="${checkTokenEndpointUrl}" />

Est-il possible d'utiliser le Printemps de Sécurité OAuth2 pour un serveur de ressource qui communique avec une autre OAuth2 serveur d'Autorisation? Comment puis-je régler le point de terminaison de communication?

InformationsquelleAutor Explosion Pills | 2013-12-04

C'est possible tant que le serveur d'autorisation et de ressources serveur(s) d'accès partagé tokenStore (par exemple à l'aide de JdbcTokenStore avec une commune dataSource). Vous pouvez simplement utiliser DefaultTokenServices avec une référence à votre partagée tokenStore. Ci-dessous est un exemple de Printemps config qui vous devriez être en mesure de régler pour s'adapter à vos besoins:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:oauth2="http://www.springframework.org/schema/security/oauth2"
xsi:schemaLocation="
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd
http://www.springframework.org/schema/security/oauth2
http://www.springframework.org/schema/security/spring-security-oauth2.xsd">
<bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
<constructor-arg name="dataSource" ref="dataSource" />
</bean>
<bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
<property name="tokenStore" ref="tokenStore" />
</bean>
<bean id="authenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
<property name="realmName" value="myRealm" />
</bean>
<bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
<constructor-arg>
<list>
<bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />
<bean class="org.springframework.security.access.vote.RoleVoter" />
<bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
</list>
</constructor-arg>
</bean>
<!-- This is not actually used, but it's required by Spring Security -->
<security:authentication-manager alias="authenticationManager" />
<oauth2:expression-handler id="oauthExpressionHandler" />
<oauth2:web-expression-handler id="oauthWebExpressionHandler" />
<security:global-method-security pre-post-annotations="enabled" proxy-target-class="true">
<security:expression-handler ref="oauthExpressionHandler" />
</security:global-method-security>
<oauth2:resource-server id="myResource" resource-id="myResourceId" token-services-ref="tokenServices" />
<security:http pattern="/myPattern/**" create-session="never"
entry-point-ref="authenticationEntryPoint" access-decision-manager-ref="accessDecisionManager">
<security:anonymous enabled="false" />
<security:intercept-url pattern="/**" access="SCOPE_READ" method="GET" />
<security:intercept-url pattern="/**" access="SCOPE_READ" method="HEAD" />
<security:intercept-url pattern="/**" access="SCOPE_READ" method="OPTIONS" />
<security:intercept-url pattern="/**" access="SCOPE_WRITE" method="PUT" />
<security:intercept-url pattern="/**" access="SCOPE_WRITE" method="POST" />
<security:intercept-url pattern="/**" access="SCOPE_WRITE" method="DELETE" />
<security:custom-filter ref="myResource" before="PRE_AUTH_FILTER" />
<security:access-denied-handler ref="oauthAccessDeniedHandler" />
<security:expression-handler ref="oauthWebExpressionHandler" />
</security:http>
</beans>

Yessss! Merci à vous, @chris-h. Plug-n-joué cette rapide 40 minutes de succès, suivi par une célébration du jeu de nerf de l'h-ou-s-e.

InformationsquelleAutor Chris H.

8

Oui, c'est possible. Comme vous l'avez déjà mentionné dans votre question, RemoteTokenServices est la solution.

J'ai créé un exemple de ce qui a séparé d'authentification et le serveur de ressources. C'est juste un exemple pour donner une idée rapide sur le concept et ouvert pour l'extension.

Printemps-AngularJS-OAuth2-Échantillon
- N'avons-nous pas toutes les propriétés qui peuvent être configurés pour atteindre cette?
- dans votre exemple, le RemoteTokenServices sont à l'aide de /oauth/check_token point de terminaison. ce sujet jeton de validation à l'aide de /oauth/token_id point de terminaison? Avez-vous la façon dont cela peut être réalisé?
- avez-vous un exemple avec RemoteTokenServices pour facebook graph?
InformationsquelleAutor Rites

Vous devez vous connecter pour publier un commentaire.