Grails：使用OAuth2.0保护REST API

Question

我正在使用Grails构建REST API。我希望使用OAuth2.0 client_credentials流（grant_type）来保护它。我的使用情况如下：

一个外部代理将请求发送到像

http://server-url/oauth/token?client_id=clientId&client_secret=clientSecret&grant_type=client_credentials 

和获得的access_token。然后，我的网址（受保护的资源）应该是入店的东西，如

http://server-url/resource?access_token={access-token obtained before} 

我期待的东西，使上Grails的方便，快捷这样做。什么将是最好的方式/工具/插件用于此？抄写库是一个选项，如果有针对我的特定用例的任何教程，它将会很棒。

P.S：我已经尝试了弹簧安全及相关插件，没有喜悦那里。任何替代品都会很好。

Answer 1

根据我的经验，抄写员是专为OAuth的1.0和只具有的OAuth 2.0的支持非常有限。实际上，为了测试我们自己的OAuth 2实现，我们可以使用的所有内容都是HTTP请求封装，我们不得不手动执行其他任何操作。幸运的是，手动操作非常容易。

因为我还没有找到一个Java的罚款开放的OAuth 2.0库（坦率地说我不熟悉使用Groovy），我鼓励你写客户端代码自己。您甚至不需要客户端回调端点来使用客户端凭据授权流程。因此，您只需创建一个HTTP请求（正如您已经在上面写过的那样，请注意转义GET参数）并获取响应内容。您的流程不使用重定向，因此只需在响应内容中解析JSON对象，例如与org.json库。最后，使用提取的访问令牌发送HTTP请求。

请注意，您的示例不完全符合标准。该标准要求使用HTTPS，将标记发送到HTTP标头而不是GET参数，并建议使用HTTP基本授权标头而不是GET参数来指定客户端凭证。

我可能误解了你的问题，你可能要实现服务器端也。抄写库只支持客户端，所以你可以找到一个商业实现或实现你自己的服务器。这是一项复杂的任务，但如果您仅支持客户端凭证流，则几乎变得非常容易。 ;-)

Answer 2

我有同样的问题。我发现了很多grails插件，可以帮助您针对其他oauth提供商验证您的应用程序，但没有什么能够帮助我将应用程序变成oauth提供程序。经过大量的挖掘之后，我遇到了这个grails插件，它将完全按照您的要求进行。

https://github.com/adaptivecomputing/grails-spring-security-oauth2-provider

我仍然可以配置为我的申请，我认为该文档可能需要几个编辑（特别是authorization_code流），但我得到了简单的client_credentials流量与最小配置工作。希望有所帮助！

Answer 3

这不是一个插件，它只是一个示例Grails应用程序，它作为一个OAuth的提供商。这是很容易学习和使用的Grails 3.

https://github.com/bobbywarner/grails3-oauth2-api