验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌

2024-01-12

我想保护我的 Spring RESTful 后端。一种方法（正确的？）是使用 OAuth 2.0，如下所示：

http://www.youtube.com/watch?v=8uBcpsIEz2I http://www.youtube.com/watch?v=8uBcpsIEz2I

在我的架构中，资源服务器和授权服务器ARE NOT同一实体。我实际上只是提供一些 JSON REST 服务。没有用户界面。如果我读到OAuth2 RFC https://www.rfc-editor.org/rfc/rfc6749#page-6他们只是说：

授权服务器和资源服务器的交互超出了本规范的范围。授权服务器可以是与资源服务器相同的服务器或单独的实体。单个授权服务器可以发出接受的访问令牌多个资源服务器。

我发现了一个很好的图表云铸造网 http://blog.cloudfoundry.com/2012/10/09/securing-restful-web-services-with-oauth2/（与上面的 YouTube 视频相关）我用它来说明我的观点：

“令牌”提供商：例如，这可以/应该是 google 或 facebook。

RESTful 后端：这实际上是我的代码。 Spring RESTful 服务，例如：

@Controller
@RequestMapping("/api/v1")
public class MyResourceToProtect {

    @Autowired
    private MyService service;

    @RequestMapping(value = "/resource/delete/{name}",
                    method = RequestMethod.DELETE,
                    consumes = MediaType.APPLICATION_JSON_VALUE,
                    headers = "Content-Type=application/json")
    @ResponseStatus(HttpStatus.OK)
    public void delete(@PathVariable("name") String name) {
        service.delete(name);
    }
}

（这只是一些示例代码）

现在我的问题是：是否可以以某种方式验证 AuthServer（Facebook、Google）生成的访问令牌？我知道我需要在资源服务器上的某个位置有一个“令牌到用户”映射（数据库）。基本上我想设计我的 RESTful API，就像 PayPal 的 API 一样：

https://developer.paypal.com/webapps/developer/docs/integration/direct/make-your-first-call/ https://developer.paypal.com/webapps/developer/docs/integration/direct/make-your-first-call/

但是，如果我想使用 Facebook 或 Google 作为身份验证提供商，如何处理步骤 1 和 2？这可能吗？

附加想法：可能我需要提供自己的/oauth2/token端点，然后委托给底层 AuthProvider。

不知道如何用一个漂亮的鞠躬来回答所有问题，所以我只是提出以下几点：

您是否试图以 OAuth 安全的方式使用像 Facebook 这样 OAuth 安全的 API？使用 Spring 社交。
如果您尝试创建自己的 REST API 并使用自己的用户上下文，请使用 Spring Security OAuth。在这种情况下，您将要求客户端使用 OAuth 针对您的 API 进行身份验证，而不是 Facebook 或 LinkedIn 等。
Spring Social Security（在 1.2.x 系列中）支持通过 OAuth 连接对用户进行“签名”（例如，“使用 facebook 登录”、“..twitter”、“..linkedin”等，以及您的应用程序最终会在会话中得到 Spring Security 主体，就像您使用 HTTP 表单手动登录用户一样。
Spring Security OAuth 并不关心您从哪里获得 Spring Security 主体。它只关心主体是否具有 Spring Security OAuth 客户端所需的正确角色/范围。因此，您没有理由不能使用 Spring Social 安全地连接到 Facebook，使用 Spring Social Security 让该连接创建 Spring Security 身份验证对象，然后使用 Spring Security OAuth 来保护对您的 API 的任何访问，这在turn 可能会在幕后安全地连接到 Facebook 的 API。客户端将使用您的 API 的 OAuth 访问令牌，而不是 Facebook。这将在服务中处理。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌的相关文章

Java JDBC：更改表

我希望对此表进行以下修改添加状态列 varchar 20 日期列时间戳我不确定该怎么做 String createTable Create table aircraft aircraftNumber int airLineCompa
无法展开 RemoteViews - 错误通知

最近我收到越来越多的用户收到 RemoteServiceException 错误的报告我每次给出的堆栈跟踪如下 android app RemoteServiceException Bad notification posted fro
多个 Maven 配置文件激活多个 Spring 配置文件

我想在 Maven 中构建一个环境在其中我想根据哪些 Maven 配置文件处于活动状态来累积激活多个 spring 配置文件目前我的 pom xml 的相关部分如下所示
加速代码 - 3D 数组

我正在尝试提高我编写的一些代码的速度我想知道从 3d 整数数组访问数据的效率如何我有一个数组 int cube new int 10 10 10 我用价值观填充其中然后我访问这些值数千次我想知道由于理论上所有 3d 数组都存储在内
磁模拟

假设我在 n m 像素的 2D 表面上有 p 个节点我希望这些节点相互吸引使得它们相距越远吸引力就越强但是如果两个节点之间的距离比如 d A B 小于某个阈值比如 k 那么它们就会开始排斥谁能让我开始编写一些关于如何随时间更新
我可以使用 HSQLDB 进行 junit 测试克隆 mySQL 数据库吗

我正在开发一个 spring webflow 项目我想我可以使用 HSQLDB 而不是 mysql 进行 junit 测试吗如何将我的 mysql 数据库克隆到 HSQLDB 如果您使用 spring 3 1 或更高版本您可以使用 s
斯坦福 NLP - 处理文件列表时 OpenIE 内存不足

我正在尝试使用斯坦福 CoreNLP 中的 OpenIE 工具从多个文件中提取信息当多个文件而不是一个传递到输入时它会给出内存不足错误 All files have been queued awaiting termination
十进制到八进制的转换[重复]

这个问题在这里已经有答案了可能的重复十进制转换错误 https stackoverflow com questions 13142977 decimal conversion error 我正在为一个类编写一个程序并且在计算如何将八进
Java按日期升序对列表对象进行排序[重复]

这个问题在这里已经有答案了我想按一个参数对对象列表进行排序其日期格式为 YYYY MM DD HH mm 按升序排列我找不到正确的解决方案在 python 中使用 lambda 很容易对其进行排序但在 Java 中我遇到了问题 f
如何将 pfx 文件转换为 jks，然后通过使用 wsdl 生成的类来使用它来签署传出的肥皂请求

我正在寻找一个代码示例该示例演示如何使用 PFX 证书通过 SSL 访问安全 Web 服务我有证书及其密码我首先使用下面提到的命令创建一个 KeyStore 实例 keytool importkeystore destkeystore
为什么HashMap不能保证map的顺序随着时间的推移保持不变

我在这里阅读有关 Hashmap 和 Hashtable 之间的区别 http javarevisited blogspot sg 2010 10 difference Between hashmap and html http javar
getResourceAsStream() 可以找到 jar 文件之外的文件吗？

我正在开发一个应用程序该应用程序使用一个加载配置文件的库 InputStream in getClass getResourceAsStream resource 然后我的应用程序打包在一个 jar文件如果resource是在里面 ja
加密 JBoss 配置中的敏感信息

JBoss 中的标准数据源配置要求数据库用户的用户名和密码位于 xxx ds xml 文件中如果我将数据源定义为 c3p0 mbean 我会遇到同样的问题是否有标准方法来加密用户和密码保存密钥的好地方是什么这当然也与 tomcat
Java执行器服务线程池[关闭]

很难说出这里问的是什么这个问题是含糊的模糊的不完整的过于宽泛的或修辞性的无法以目前的形式得到合理的回答如需帮助澄清此问题以便重新打开访问帮助中心 help reopen questions 如果我使用 Executor 框架在
在mockito中使用when进行模拟ContextLoader.getCurrentWebApplicationContext()调用。我该怎么做？

我试图在使用 mockito 时模拟 ContextLoader getCurrentWebApplicationContext 调用但它无法模拟 here is my source code Mock org springframewo
如何从泛型类调用静态方法？

我有一个包含静态创建方法的类 public class TestClass public static
如何在桌面浏览器上使用 webdriver 移动网络

我正在使用 selenium webdriver 进行 AUT 被测应用程序的功能测试自动化 AUT 是响应式网络我几乎完成了桌面浏览器的不同测试用例现在相同的测试用例也适用于移动浏览器因为可以从移动浏览器访问 AUT 由于它是响
有没有办法为Java的字符集名称添加别名

我收到一个异常埋藏在第 3 方库中消息如下 java io UnsupportedEncodingException BIG 5 我认为发生这种情况是因为 Java 没有定义这个名称java nio charset Charset Ch
使用 JMF 创建 RTP 流时出现问题

我正处于一个项目的早期阶段需要使用 RTP 广播DataStream创建自MediaLocation 我正在遵循一些示例代码该代码目前在rptManager initalize localAddress 出现错误无法打开本地数据端口
Spring Boot @ConfigurationProperties 不从环境中检索属性

我正在使用 Spring Boot 1 2 1 并尝试创建一个 ConfigurationProperties带有验证的bean 如下所示 package com sampleapp import java net URL import j

随机推荐

subprocess.check_output()：失败时显示输出

的输出subprocess check output 目前看起来像这样 CalledProcessError Command foo returned non zero exit status 1 有没有办法获得更好的错误消息我想看看st
在哪里可以学习 DirectX 编程？ [关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案我想学习 C 编程中的 DirectX 我决定学习DirectX 于是在网上找了一些教程但是都是very复杂且难以理解我花了3天时间看
.cc 和 .cpp 文件后缀有什么区别？

有什么区别 cc and cpp文件扩展名从Google 我了解到它们都来自C 语言但我不确定它们之间的区别惯例从历史上看 C 源文件的后缀是 C 这在第一次移植 C 时引起了一些问题对于文件名中大小写不重要的系统不同的用户采用
如何在 Substrate 的智能合约平台 ink 上保存字符串值？

我最初尝试了这个问题中所教授的实现如何在 Substrate 上保存字符串值 https stackoverflow com questions 63221904 how can i save string value on substr
如何通过 rmarkdown 自动将 networkD3::sankeyNetwork() 保存到静态图像中？

当我在 rmarkdown 中编写报告时我的所有数据都会自动保存在该文件夹下graphs 然而由于桑基图不同它不会自动保存为图片 png 等有解决方法吗无需通过 RStudio Plots 面板手动保存每个图表 I saw 这个问
如何在 Kotlin 中打印 ClosedRange

我正在学习 Kotlin 并且我正在尝试理解Ranges 我创建了一系列String如下 val alpha A Z 我想打印我写的这个 for item in alpha println item 但它给出了错误错误 13 18 Kot
什么时候工厂方法比简单工厂更好，反之亦然？

我正在阅读 Head First Design Patterns 一书我相信我了解简单工厂和工厂方法但我很难看出工厂方法相对于简单工厂带来的优势如果对象 A 使用简单工厂来创建其 B 对象那么客户端可以这样创建它 A a new A
到 Out-GridView 和 Out-File 的管道有不同的行？

以下命令仅返回一行参数 Context 10被忽略 select string path file txt pattern Context 10 Out GridView 但是以下命令创建一个包含所有行的文件 select string
logback 在 Flink 中不起作用

我有一个单节点 Flink 实例它在 lib 文件夹中具有 logback 所需的 jar logback classic jar logback core jar log4j over slf4j jar 我已从 lib 文件夹中删除了
如何在 iOS 中用渐变填充由 CGPoints 定义的形状？

我在代码中设置了自定义形状的箭头我想做的就是用渐变填充它问题是我不知道如何用渐变填充非矩形形状暗框内的空间有任何想法吗 Define colours used in drawing CGContextRef context UIG
UILabel 默认字偶距与 CATextLayer 不同

我有一个UILabel与字符串 LA 我也有一个CATextLayer具有相同的字符NSAttributedString分配给其string财产字距调整UILabel与CATextLayer 这是代码 void viewDidLoad s
ExecutorService 与 Swing 计时器

我一直在读肮脏的有钱客户 http filthyrichclients org 最近注意到虽然Java的版本是6 但是并没有提到Concurrent Framework 因此他们谈论 java util Timer 和 javax sw
如何绑定到用户控件的属性？

在 Windows 应用商店应用中您创建一个用户控件来封装和重用代码隐藏和布局 XAML 一个简单的用户控件可能如下所示
Android 中的文件浏览器[关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心 help reopen questi
PHP 中的 INET_ATON() 和 INET_NTOA()？

我想将 IP 地址存储在数据库中但我还需要在整个应用程序中使用它们我读到关于使用INET ATON and INET NTOA 在我的 MySQL 查询中从 IP 地址中获取 32 位无符号整数这正是我想要的因为它将比使用 cha
每月累计总数和 Postgresql

我正在尝试计算 dellstore2 数据库的累计用户数看看这里的答案和其他论坛我用了这个 select date trunc month orderdate sum count distinct customerid over ord
无法插入断点。低值地址

我正在尝试调试这个简单的 C 程序 include
Facebook Javascript，如何检测用户是否是我的 Facebook 页面的粉丝？在我的网站上？

我有以下 JS 代码该代码的目的是首先获取用户的 facebook id 然后使用 FQL 对照我的页面 ID 检查该 id 并确保该用户是粉丝我遇到的问题是代码真正起作用的唯一时间是我使用自己的个人 Facebook 个人资料登录时
具有给定厚度、位置和半径的拉环。 (Java2D)

我需要画一个具有给定厚度的环看起来像这样中心必须是透明的这样它就不会覆盖之前绘制的形状或其他戒指我尝试过这样的事情 g is a Graphics2D object g setColor Color RED g drawOval
验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌

我想保护我的 Spring RESTful 后端一种方法正确的是使用 OAuth 2 0 如下所示 http www youtube com watch v 8uBcpsIEz2I http www youtube com watch

验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌

验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌 的相关文章

随机推荐

热门标签

验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌的相关文章