Значок Spring OAuth2 без ClientId и ClientSecret для внешних клиентов

Question

У нас есть маркер OAuth с использованием Spring, который принимает имя пользователя/пароль/ClientId/Secret, что отлично работает. Для внешнего клиента нам просто нужно ввести имя пользователя и пароль и создать токен OAuth.

<security:http pattern="/oauth/token" create-session="stateless" 
     authentication-manager-ref="clientAuthenticationManager" 
     xmlns="http://www.springframework.org/schema/security"> 
     <security:intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" /> 
     <security:anonymous enabled="false" /> 
    <security:http-basic entry-point-ref="clientAuthenticationEntryPoint" /> 
     <!-- include this only if you need to authenticate clients via request parameters --> 
     <security:custom-filter ref="clientCredentialsTokenEndpointFilter" after="BASIC_AUTH_FILTER" /> 
    <security:access-denied-handler ref="oauthAccessDeniedHandler" /> 
    </security:http> 

Ниже приведен новый код, который нам нужно добавить, но он запрашивает имя пользователя и пароль в браузере.

<security:http pattern="/**external**/oauth/token" create-session="stateless" 
     authentication-manager-ref="clientAuthenticationManager" 
     xmlns="http://www.springframework.org/schema/security"> 
     <security:intercept-url pattern="/external/oauth/token" access="IS_AUTHENTICATED_FULLY" /> 
     <security:anonymous enabled="false" /> 
    <security:http-basic entry-point-ref="clientAuthenticationEntryPoint" /> 
     <security:custom-filter ref="clientCredentialsTokenEndpointFilter" after="BASIC_AUTH_FILTER" /> 
    <security:access-denied-handler ref="oauthAccessDeniedHandler" /> 
    </security:http> 

Пожалуйста, руководство, если мы можем генерировать OAuth без ClientId и внутренне пройти ClientId генерировать OAuth.

Answer 1

Вы никогда не сможете создать токен OAuth без clientId! Oauth2 имеет 3 способа создания токена, Implicit, Code и user/pass. Последнее следует избегать, так как это означает, что клиент Oauth получит доступ к учетным данным пользователя, а OAuth был создан для предотвращения именно этого. Неявный токен предоставляется с использованием только учетных данных пользователя (обычно с участием только браузера). В режиме кода клиент OAuth получил код (не должен находиться в браузере), который затем обменивается на токен. Код для обмена Token требует, чтобы клиент Oauth аутентифицировался, используя его clientId и секрет, это обычно делается с использованием Basic Authentication.

Answer 2

Я думаю, что вам нужно, это владелец ресурса типа гранта Пароль, который объясняется в https://tools.ietf.org/html/rfc6749#section-1.3.3

ресурсов Владелец гранта Пароль типа должен быть использован только с доверенными клиентами. Поэтому, если внешний клиент, о котором вы говорите, является доверенным клиентом (например, мобильное приложение, разработанное той же компанией, например Facebook Mobile App), это может быть использовано.

потока объясняется в https://tools.ietf.org/html/rfc6749#section-4.3.1

Самым важным аспектом владелец ресурса типа гранта является клиент не должен хранить имя пользователя и пароль.