OAuth2 클라이언트 자격 증명 흐름 이해

Question

새로운 REST 서버와 기존 클라이언트 앱 간의 클라이언트 자격 증명 흐름을 이해하고 구현하려고합니다. this과 같은 스프링 보안 OAuth2를 설정했습니다. 지금까지 나의 이해에서 내 서버는 이제 다음과 같은 요청을 지원해야한다 :

$ curl -X -v -d 'client_id=the_client&client_secret=secret&grant_type=client_credentials' -X POST "http://localhost:9090/oauth/token" 

을하지만 난

InsufficientAuthenticationException: There is no client authentication 

는 Principal은 (스프링 보안 코드) 여기 null 인에 의한 취득 ​​:

@FrameworkEndpoint 
@RequestMapping(value = "/oauth/token") 
public class TokenEndpoint extends AbstractEndpoint { 

    @RequestMapping 
    public ResponseEntity<OAuth2AccessToken> getAccessToken(Principal principal, 
      @RequestParam("grant_type") String grantType, @RequestParam Map<String, String> parameters) { 

     if (!(principal instanceof Authentication)) { 
      throw new InsufficientAuthenticationException(

그래서 나는 먼저 서버에 대해 인증을 받아야합니다. 하지만 그게 이고 내가하고 싶은게 아니라입니다. 내 서버 중 두 대가 공유 암호를 사용하여 서로 이야기하기를 원합니다. OAuth 공급자 서버는 클라이언트 서버가 해당 토큰을 사용하여 서버의 모든 REST 리소스에 액세스 할 수 있도록 요청시 (신뢰할 수있는) 클라이언트 서버에 액세스 토큰을 제공해야합니다. 이것은 외부 액세스로부터 REST 자원을 보호해야합니다.

나중에 제 3 자에게 선택한 리소스를 제공하고 결국 서버 간 통신을위한 좀 더 세분화 된 보안을 구현하려고합니다. 하지만 지금은 외부 액세스로부터 REST 서버를 보호해야합니다.

전체 클라이언트 자격 증명 흐름이나 스프링 보안 응용 프로그램에 대한 오해가있을 수 있으므로 명확한 설명을 부탁드립니다.

Answer 1

인증 서버에 클라이언트를 인증하지 않았습니다.

당신은 같은 것을 할 필요가 : 이것은 grant_type 및 기타 매개 변수를 지정 후 인증 서버에 클라이언트를 인증하고있다

curl --user the_client:secret --data "grant_type=client_credentials" http://localhost:9090/oauth/token 

. 그러면 oauth 클라이언트 세부 정보에 의해 결정된 범위의 'bearer'유형의 액세스 토큰이 반환됩니다. 토큰을 받으면 인증 헤더를 설정하여 보호 된 리소스에 액세스 할 수 있습니다.

curl -H "Authorization: Bearer <accessToken>" <resourceUrl>