我正在创建一个 spring boot 2.0 应用程序并尝试启用 oauth2 安全性。到目前为止,我在同一个应用程序中拥有身份验证服务器和资源服务器。我的客户端和用户详细信息以及生成的令牌保存在数据库 (mysql) 中,并且数据库架构与 spring 文档提供的相同。当我使用 Postman 在标头中提供 clientId 和 clientSecret 并在正文中提供用户凭据时,当我点击“/oauth/token/”端点时,我成功获取了访问令牌。{"access_token": "bef2d974-2e7d-4bf0-849d-d80e8021dc50","token_type": "bearer","refresh_token": "32ed6252-e7ee-442c-b6f9-d83b0511fcff","expires_in": 6345,"scope": "read write trust"}但是,当我尝试使用此访问令牌访问我的 rest api 时,我收到 401 Unauthorized 错误:{"timestamp": "2018-08-13T11:17:19.813+0000","status": 401,"error": "Unauthorized","message": "Unauthorized","path": "/myapp/api/unsecure"}我正在使用的其余 API 如下:http://localhost:8080/myapp/api/unsecurehttp://localhost:8080/myapp/api/securemyapp 是我的应用程序的上下文路径。对于“安全”api,我在请求标头中提供了访问令牌,如 Spring 文档中所述:Authorization: Bearer bef2d974-2e7d-4bf0-849d-d80e8021dc50而对于不安全的 api,我已经尝试过使用和不使用 Authentication 标头。在所有情况下,我都收到了两个 api 的相同错误。此外,当我尝试打印当前经过身份验证的用户时,它会被打印为匿名用户。我想要的是如下:1)我希望只有在请求标头中提供访问令牌时才能访问我的安全 api。2) 我希望未经授权的用户可以访问我的不安全 api。3) 我应该在访问安全 url 时使用 SecurityContextHolder 获取当前经过身份验证的用户。
1 回答

GCT1015
TA贡献1827条经验 获得超4个赞
尝试添加
@Order(SecurityProperties.BASIC_AUTH_ORDER)
对于安全配置?所以链会首先检查你的资源服务器的配置。
并且不确定您的类型是否错误,请从资源服务器中删除摘要。
添加回答
举报
0/150
提交
取消