Веб-и мобильные клиенты для Spring Безопасность OAuth2

Я пытаюсь обернуть голову вокруг OAuth2 и Spring Security OAuth, особенно для службы OAuth Provider. Я пытаюсь реализовать следующее:

  • Поставщик OAuth
  • Сервер ресурсов (веб-службы RESTful, которые должны быть защищены с использованием OAuth Provider (1))
  • Веб-клиент (приложение веб-клиента, защищенное с помощью Spring Безопасность, но должно использовать OAuth Provider (1) для аутентификации пользователя
  • Собственные мобильные клиенты (Android и iOS), которые также должны использовать OAuth Provider (1) для аутентификации

Все эти модули независимы друг от друга, т.е. разделены в разных проектах и ​​будут размещаться в разных доменах, таких как (1) http://oauth.web.com, (2) http://rest.web.com, (3) http://web.com

Мои два вопроса:

а. Как реализовать проект веб-клиента, чтобы при входе пользователя на защищенную страницу или нажатии кнопки "Войти", перенаправление на URL-адрес провайдера OAuth, вход в систему и аутентификация на веб-клиенте со всеми ролями пользователя, а также нужно знать, какой клиент был использован. @EnableResourceServer (так же, как реализован Resource Server, см. код ниже) в этом проекте, чтобы получить информацию о пользователе? Нужно ли мне управлять токеном доступа и всегда включать его в вызов на сервере ресурсов или это можно сделать как-то автоматически?

В. Каков наилучший способ обеспечения безопасности в мобильных приложениях, которые я буду разрабатывать. Должен ли я использовать пароль grand для этой аутентификации, так как приложения будут созданы мной, где у меня будет имя пользователя и пароль на собственном экране, а затем отправьте на сервер в качестве базовой проверки подлинности через SSL? Есть ли какие-либо образцы, на которых я могу взглянуть на этот разговор с Spring Security OAuth и вернуть данные пользователя.

Вот моя реализация проекта OAuth (1) и ресурсного проекта (2):

1. Поставщик OAuth

Конфигурации сервера OAuth2 (большая часть кода была взята из ЗДЕСЬ)

@Configuration
@EnableAuthorizationServer
public class OAuth2ServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    @Qualifier("authenticationManagerBean")
    private AuthenticationManager authenticationManager;

    @Autowired
    DataSource dataSource;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .tokenStore(tokenStore())
                .approvalStore(approvalStore())
                .authorizationCodeServices(authorizationCodeServices())
        ;
    }

    @Bean
    public JdbcClientDetailsService clientDetailsService() {
        return new JdbcClientDetailsService(dataSource);
    }

    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    @Bean
    public ApprovalStore approvalStore() {
        return new JdbcApprovalStore(dataSource);
    }

    @Bean
    public AuthorizationCodeServices authorizationCodeServices() {
        return new JdbcAuthorizationCodeServices(dataSource);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetailsService());
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

        oauthServer.checkTokenAccess("permitAll()");
    }
}

Конфигурация веб-безопасности

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

    @Autowired
    private CustomUserDetailsService customUserDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable(); // TODO. Enable this!!!

        http.authorizeRequests()
                .and()
                .formLogin()
//                .loginPage("/login") // manually defining page to login
//                .failureUrl("/login?error") // manually defining page for login error
                .usernameParameter("email")
                .permitAll()

                .and()
                .logout()
//                .logoutUrl("/logout")
                .logoutSuccessUrl("/")
                .permitAll();
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(customUserDetailsService)
                .passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

UserDetailsService (customUserDetailsService)

@Service
public class CustomUserDetailsService implements UserDetailsService{

    private final UserService userService;

    @Autowired
    public CustomUserDetailsService(UserService userService) {
        this.userService = userService;
    }

    public Authority loadUserByUsername(String email) throws UsernameNotFoundException {
        User user = userService.getByEmail(email)
                .orElseThrow(() -> new UsernameNotFoundException(String.format("User with email=%s was not found", email)));
        return new Authority(user);
    }
}

2. Сервер ресурсов (RESTful WS)

Конфигурация (большая часть кода скелета взята из ЭТО)

@Configuration
@EnableResourceServer
public class OAuth2ResourceConfig extends ResourceServerConfigurerAdapter{

    @Autowired
    DataSource dataSource;

    String RESOURCE_ID = "data_resource";

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        TokenStore tokenStore = new JdbcTokenStore(dataSource);
        resources
                .resourceId(RESOURCE_ID)
                .tokenStore(tokenStore);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                // For some reason we cant just "permitAll" OPTIONS requests which are needed for CORS support. Spring Security
                // will respond with an HTTP 401 nonetheless.
                // So we just put all other requests types under OAuth control and exclude OPTIONS.
                .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/**").access("#oauth2.hasScope('read')")
                .antMatchers(HttpMethod.POST, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PATCH, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PUT, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.DELETE, "/**").access("#oauth2.hasScope('write')")
                .and()

                // Add headers required for CORS requests.
                .headers().addHeaderWriter((request, response) -> {
            response.addHeader("Access-Control-Allow-Origin", "*");

            if (request.getMethod().equals("OPTIONS")) {
                response.setHeader("Access-Control-Allow-Methods", request.getHeader("Access-Control-Request-Method"));
                response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
            }
        });    
    }
}

Контроллер WS:

@RestController
@RequestMapping(value = "/todos")
public class TodoController {

    @Autowired
    private TodoRepository todoRepository;

    @RequestMapping(method = RequestMethod.GET)
    public List<Todo> todos() {
        return todoRepository.findAll();
    }

   // other methods
}

ОТВЕТЫ

Ответ 1

Как реализовать проект веб-клиента, чтобы при регистрации пользователя на защищенной странице или нажимает кнопку "Войти", перенаправляется на URL-адрес провайдера OAuth, войти в систему и пройти аутентификацию на веб-клиенте со всеми ролями пользователей, а также также необходимо знать, какой клиент был используется

Вы хотите использовать OAuth как SSO.

Вариант 1, используйте spring облако https://spring.io/blog/2015/02/03/sso-with-oauth2-angular-js-and-spring-security-part-v

Вариант 2 вручную обрабатывает процесс SSO:

в вашем веб-клиенте, настройте страницу входа на сервер OAuth с помощью разрешения на авторизацию.

protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable(); // TODO. Enable this!!!
    http.authorizeRequests()
    .and()
    .formLogin()
    .loginPage("http://oauth.web.com/oauth/authorize?response_type=code&client_id=webclient&redirect_uri=http://web.com") // manually defining page to login
    //.failureUrl("/login?error") // manually defining page for login error
    .usernameParameter("email")
    .permitAll()   
    .and()
    .logout()
    //.logoutUrl("/logout")
    .logoutSuccessUrl("/")
    .permitAll();
}

после завершения процесса авторизации и авторизации, вы будете перенаправлены на веб-клиент с кодом авторизации http://web.com/?code=jYWioI. ваш веб-клиент должен обмениваться этим кодом с доступом к токенам на вашем сервере oauth. На сервере oauth создайте конечную точку для получения информации о пользователе

@RestController
public class UserRestService {

  @RequestMapping("/user")
  public Principal user(Principal user) {
    // you can also return User object with it roles
    // {"details":...,"principal":{"username":"user",...},"name":"user"}
    return user;
  }

}

Затем ваш веб-клиент может получить доступ к информации сведений о пользователях, отправив запрос с доступом к токенам к вышеуказанной конечной точке отдыха и аутентифицировать пользователя на основе ответа.

Нужно ли мне управлять маркером доступа и всегда включать его в вызов сервер ресурсов или это может быть сделано как-то автоматически?

Каждый запрос должен включать доступ к токену. Если вы хотите сделать это автоматически, spring предоставит клиент Oauth 2 http://projects.spring.io/spring-security-oauth/docs/oauth2.html

Каков наилучший способ обеспечения безопасности в мобильных приложениях, которые Я буду развиваться. Должен ли я использовать пароль grand для этого аутентификации, поскольку приложения будут созданы мной, где у меня будет имя пользователя и пароль должны быть на собственном экране, а затем отправляться на сервер в качестве базовой проверки подлинности через SSL?

Поскольку вы используете собственный экран, достаточно предоставить пароль, но вы можете сохранить токен обновления, это позволит вам запрашивать доступ к токену без повторения процесса аутентификации.

Есть ли какие-то образцы, которые я могу посмотреть на этот разговор с SpringБезопасность OAuth и вернуть данные пользователя.

см. пример кода выше или взгляните на это https://spring.io/blog/2015/02/03/sso-with-oauth2-angular-js-and-spring-security-part-v