没有任何UI的spring security oauth2授权服务器

Question

我已经实现了一个spring安全oauth2授权服务器作为一个spring boot微服务。我正在尝试允许我们的主(非java)应用程序使用这个新服务迁移到oauth2。

有一件事我想不通，那就是如何设置它，使授权服务器永远不会显示任何UI。特别是，有没有办法让/oauth/authorize UI托管在我们的主应用程序上，同时仍然接受代理授权批准？或者，该UI是否需要由授权服务器直接提供？

Answer 1

您可以在您的UI应用程序中创建登录页面，登录将调用身份验证服务器，如下所示：

curl -X POST -vu client:secret http://localhost:8081/spring-security-oauth-server/oauth/token -H "Accept: application/json" -d "password=password&username=user&grant_type=password&scope=read%20write&client_secret=secret&client_id=client"

您将收到一个访问令牌，它将用于访问资源服务器中的端点，如下所示：

curl http://localhost:8081/spring-security-oauth-resource/path/endpoint -H "Authorization: Bearer <Token>"

Answer 2

用于登录的UI不需要在授权服务器上(请参阅https://www.rfc-editor.org/rfc/rfc6749#section-4.3资源所有者密码凭据授予)。这使得收集凭据并向授权服务器发出直接令牌请求的任务留给客户端。

但是，我通常不建议绕过AS UI，因为这意味着每个客户端应用程序都必须实现登录逻辑，并且您不会在这些客户端应用程序之间进行单点登录。