angularjs – 如何将常规用户名/密码登录与第三方社交登录集成为
我有一个Angular
Spring启动单页Web应用程序.该服务器还充当Auth服务器,它为角应用程序发出令牌以用于进行Restful API调用.
我的旧登录流使用grant_type = password POST调用/ oauth / token端点来获取Bearer令牌.代表用户的所有进一步API调用将包括Bearer令牌作为“授权”http头. 现在我需要整合社交登录(脸书,推特等),这意味着我没有用户名/密码来生成令牌,所以我不知道如何让它工作. 我一直在使用以下两个教程作为我的模板: Spring Security and Angular JS Spring Boot and OAuth 在第一个教程的oauth-vanilla示例中,用户名passwork登录流程会显示授权页面.但我想拥有传统的用户名/密码表单登录体验(直接登录用户而不是显示授权页面). 在第二个教程中,在登录facebook之后,我想使用facebook id查找我的内部用户数据库并创建一个新用户(如果不存在)并以用户身份登录.并使用内部db用户的身份和权限来授权将来对我的API服务器的API调用. 我在at处有一个剥离的样本 我可以对/ oauth / token端点进行POST调用,并使用返回的令牌对我的protected / api / blogs端点进行进一步的api调用.但我还没弄明白如何使以下事情奏效: >将创建会话cookie的用户名/密码登录,因此我不需要发送授权承载令牌以用于将来对资源端点的API调用 ===更新=== 只是为了澄清.以下是我要实现的目标: >多种身份验证方式(传统用户名/密码,第三方oauth登录如facebook,未来可能是手机号码短信代码) 有一些混乱,我可能会要求人们将他们的Facebook用户名/密码放在我的应用程序托管的登录表单中,我将代表用户登录facebook.这不是我要求的. 解决方法
您不需要这么复杂的配置.将@ EnableOAuth2Sso添加到MainConfiguration并设置适当的应用程序属性.
以下是我使用Facebook作为授权服务器所做的工作. a)从UserServiceImpl中删除clientId和authServer.否则,您将被迫配置不需要的授权服务器. b)完全删除AuthorizationServerConfiguration. c)将@EnableWebSecurity和@ EnableOAuth2Sso添加到您的MainConfiguration. d)将MainConfiguration :: configure更改为 http .logout().logoutSuccessUrl("/").permitAll().and() .authorizeRequests().antMatchers("/","/login","/home.html").permitAll() .anyRequest().authenticated() .and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); e)从MainConfiguration中删除除嵌套类AuthenticationSecurity之外的所有其他内容. f)将ResourceServerConfiguration :: configure(HttpSecurity)更改为 http.antMatcher("/api/**").authorizeRequests().anyRequest().authenticated(); f)从ResourceServerConfiguration中删除属性tokenStore和方法ResourceServerConfiguration :: configure(ResourceServerSecurityConfigurer). g)从application.yml中删除配置块安全性和Facebook.而是添加这个 security: oauth2: client: client-id: <CLIENT_ID> token-name: oauth_token authentication-scheme: query client-authentication-scheme: form access-token-uri: https://graph.facebook.com/oauth/access_token user-authorization-uri: https://www.facebook.com/dialog/oauth resource: user-info-uri: https://graph.facebook.com/me client-id: <CLIENT_ID> client-secret: <CLIENT_SECRET> token-type: code h)在index.html中更改< a href =“#/ login”> login< / a>到< a href =“/ login”>登录< / a>.
我永远不会使用需要我的凭据的网站,而不会将我重定向到原点!我不认识你,你被怀疑是一个网络钓鱼网站. 顺便说一下,我用这些更改创建了一个拉取请求. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |