0
我已经在应用程序中实现了spring-security-oauth2,并付出了很多努力。 一切工作正常。该资源仅被授权令牌访问。 但是,当我尝试使用授权标头访问不安全的资源时,它会验证访问令牌。访问不安全资源时访问令牌无效oauth2
如果访问令牌有效,那么它的工作权限,但如果访问令牌无效,它会显示错误Invalid access_token。
A
回答
1
Spring安全拦截每个请求并检查access_token的有效性,除非显式用户指定允许访问URl。如果你想不拦截URL模式和检查认证 一样,那么代码会像
<http ...>
<intercept-url pattern="/app/**" access="IS_AUTHENTICATED_FULLY" />
<intercept-url pattern="/oauth2/resource/**" access="ROLE_USER" />
</http>
但是,如果你要访问的资源,没有任何安全的,你可以做这样的事情:
<http pattern="/resources/**" security="none"/>
希望能够解决您的问题
1
您必须在OAuth配置文件中配置HTTP模式。检查您是否使用'*'配置网址
<http pattern="/detail/**" create-session="never"
entry-point-ref="oauthAuthenticationEntryPoint"
xmlns="http://www.springframework.org/schema/security">
<anonymous enabled="false" />
<!-- intercept-url pattern -->
<intercept-url pattern="/detail/**" access="IS_AUTHENTICATED_FULLY" />
<custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
<access-denied-handler ref="oauthAccessDeniedHandler" />
</http>
例如,在上述配置中,我已经使所有启动“详细信息”的API受到保护。您也可能在不知不觉中/无意中使API获得保护。确保你没有!
相关问题
- 1. Spring安全OAuth2 - 验证访问令牌
- 2. 使用正确的访问令牌无法访问OAuth2 secred资源
- 3. Spring Oauth2 Authorization_Grant - 令牌后无法访问资源 - 用户匿名
- 4. 可以访问春天的oauth2保护资源而不访问令牌
- 5. Oauth2访问令牌安全问题+ angular 2
- 6. OAuth2访问令牌响应
- 7. 设计(OAuth2)访问令牌
- 8. Facebook访问令牌无效
- 9. Facebook无效访问令牌
- 10. Dropbox无效访问令牌
- 11. 当请求oauth2访问令牌时获取无效范围
- 12. AngularJS访问令牌安全问题
- 13. 获取令牌以访问Azure资源
- 14. 访问令牌时拒绝oauth2请求的访问
- 15. Microsoft EDGE - 访问此资源所需的安全证书无效
- 16. Facebook USER访问令牌,用于代替公共资源的APP访问令牌
- 17. 显示OAuth访问令牌安全吗?
- 18. 生成安全访问令牌
- 19. 安全地存储访问令牌
- 20. 离线访问令牌的安全性
- 21. 春季安全Twitter访问令牌
- 22. Facebook用户访问令牌安全
- 23. spring security oauth2(2.0.8)正在使用无效的访问令牌InMemory令牌存储
- 24. 撤销访问令牌 - Web API(OAuth2)
- 25. 在oAuth2中窃取访问令牌
- 26. YouTube api v3 debug oauth2访问令牌
- 27. Python oauth2 - 获取访问令牌
- 28. DocuSign中的OAuth2访问令牌限制
- 29. 的oauth2访问令牌到期
- 30. 的OAuth2访问令牌活动会话