SpringSecurityOAuth 访问 oauth/authorize 会被拦截

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 1549 天前的主题，其中的信息可能已经有所发展或是发生改变。

在代码中有配置"/oauth/*" 不需要登录认证

            .and()
            .authorizeRequests()//对下面请求
            .antMatchers("/authentication/require","/oauth/*"
                    ,securityProperties.getBrowser().getLoginPage()
                    ,"/code/*").permitAll()//对这些个请求不需要身份验证
            .anyRequest()//任何请求
            .authenticated()//都需要认证 /登录

第 1 条附言 · 2020-01-22 14:08:03 +08:00

登录了才能可以访问到

第 2 条附言 · 2020-01-22 14:17:48 +08:00

这段代码是写在实现了 WebSecurityConfigurerAdapter 里的 configure 方法中的

OAuth

请求

tbro

authorize

3 条回复 • 2020-01-23 11:48:20 +08:00

skypyb

2020-01-22 18:56:00 +08:00

实现入参是 WebSecurity 这个参数的方法：configure(WebSecurity web)
然后方法体内书写
web.ignoring().antMatchers(HttpMethod.POST,"/oauth/*");

试一下

rqxiao

2020-01-23 10:43:53 +08:00

@skypyb 额查了半天说貌似 SpringSecurityOAuth 的授权码模式获取授权码（/oauth/authorize ）这一步是需要登录（例如 httpbasic 方式）的，密码模式（ password ）就是直接传账密获取 token,就只有一步了，不需要登录
也有可能我说的不太对

hantsy

2020-01-23 11:48:20 +08:00

@rqxiao 用 Code Flow 的时候， /oauth/* 需要 ClientId，ClientSecret，这个一般通过 HttpBasic 传递，也可以通过 Form 参数方式（一般可配置）。

Resource owner Password Flow 不是所有的 IdP 都支持，一般 Authorization Code Flow 最常见。Client Credentials 设计用 Client 操作。Implicit 是简化的 Code, 很多 IDP 认为有安全问题，不支持。

https://oauth.net/2/