Поддерживает ли Spring Security OAuth2 поток кода авторизации с PKCE для клиентов браузера (Angular)?
Раньше для управления аутентификацией приложений браузера использовалось неявное предоставление сервера авторизации. Я успешно реализовал это с помощью Spring Security Oauth.
У этого подхода есть несколько недостатков:
- Токены обновления не поддерживаются, поэтому, когда срок действия токена истекает, нам необходимо повторно аутентифицироваться на сервере авторизации.
- Это разрешение не рекомендуется из соображений безопасности (см. https://oauth.net/2/grant-types/implicit/ и https://datatracker.ietf.org/doc/html/draft-parecki-oauth-browser-based-apps-01).
В настоящее время рекомендуется использовать поток кода авторизации с PKCE для приложений браузера.
Как это можно было бы реализовать на сервере авторизации Spring Boot с Spring boot oauth?
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
Поднятие тревоги для долго выполняющихся методов в Spring Boot
Приходилось ли вам сталкиваться с требованиями, в которых вас могли попросить поднять тревогу или выдать ошибку, когда метод Java занимает больше...
Версия Java на основе версии загрузки
Если вы зайдете на официальный сайт Spring Boot , там представлен start.spring.io , который упрощает создание проектов Spring Boot, как показано ниже.
Документирование API с помощью Swagger на Springboot
В предыдущей статье мы уже узнали, как создать Rest API с помощью Springboot и MySql .
7
0
3 930
1
Перейти к ответу
Данный вопрос помечен как решенный
Ответы 1
Ответ принят как подходящий
Нет, пока не поддерживает PKCE, хотя есть билет на это.
Также обратите внимание, что поддержка OAuth в Spring Security сейчас находится в фазе перехода, пока она переносится на Spring Security. Не стесняйтесь следить за эта матрица характеристик, чтобы увидеть, где находится прогресс.
Другие вопросы по теме
SpringSecurity BasicAuthenticationFilter с настраиваемым AuthenticationManager
Thymeleaf не интерпретирует теги sec
Выбор типа гранта для реализации OAuth2
Как расширить @Preauthorize Spring Security с помощью настраиваемого правила проверки?
Перенаправление единого входа SAML Spring Security на контроллер
Как заставить REST Call Logout работать с Spring Boot, Vaadin 10 и Keycloak 4?
Spring Security + AAD: invalid_token_response
Spring Security с проблемой конфигурации JWT
Spring Boot с OAuth2 за обратным прокси
Метод HTTP Put не работает из Spring Boot
Похожие вопросы
Проект загрузки Spring не разрешает зависимости - Не удалось собрать зависимости в org.springframework.boot: spring-boot-starter-web: jar: 2.1.1.RELEASE
Jquery, чтобы проверить, какое значение в массиве флажков отмечено
Выравнивание бутстрапа с несколькими столбцами
@PostConstruct и bean-компонент, созданный с новым в классе конфигурации
Spring @Transactional вызывает NoClassDefFoundError
Как сделать раскрывающийся список / выбор обязательным в Thymeleaf
JPA Подсчет участников
SWAGGER 2 Наследование для объектов запроса и ответа от одного и того же базового объекта
Spring Boot 2.1 + Spring Web Flow
Приложение Spring завершает работу при запуске