Spring Security OAuth2简单配置

Z时代
2024-01-10
分类：问答

我有一个简单的项目，需要以下简单配置：

我有一个“ password” grant_type，这意味着我可以提交用户名/密码（用户在我的登录表单中输入），并在成功时获取一个access_token。

使用该access_token，我可以请求一个API并获取用户的信息。

我知道API的URI，我不需要任何大的东西（我在https://github.com/spring-projects/spring-security-

oauth/tree/master/samples上看到了配置），而且看起来很大。

我可以这样想：

执行一个简单的HTTP请求，并提供 client_id ， client_secret ， grant_type = password ， 用户名 和密码（用户提供的密码）。

我在JSON响应中收到 ACCESS_TOKEN （和其他一些东西）。

我使用 ACCESS_TOKEN 查询URL（使用简单的GET请求），该URL将提供用户的信息。

我在HttpSession中设置信息，并认为该用户已登录。

可以在2个HTTP请求中完成。我只是不想这样做，而是在Spring Security OAuth2中使用“更安全”的方法。

您能想到我需要做的“简单”配置吗？

回答：

不要让sparklr样本使您感到困惑（它所做的远远超出您的预期）。就是这个简单的够吗？

@ComponentScan
@EnableAutoConfiguration
public class Application {
public static void main(String[] args) {
    SpringApplication.run(Application.class, args);
}
@Configuration
@Order(Ordered.LOWEST_PRECEDENCE - 100)
protected static class OAuth2Config extends OAuth2AuthorizationServerConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // @formatter:off
        auth.apply(new InMemoryClientDetailsServiceConfigurer())
            .withClient("my-trusted-client")
                .authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")
                .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
                .scopes("read", "write", "trust")
                .accessTokenValiditySeconds(60)
        .and()
            .withClient("my-client-with-secret")
                .authorizedGrantTypes("client_credentials")
                .authorities("ROLE_CLIENT")
                .scopes("read")
                .secret("secret");
    // @formatter:on
    }
}
}