Grails：使用OAuth2.0保護REST API

Question

我正在使用Grails構建REST API。我希望使用OAuth2.0 client_credentials流（grant_type）來保護它。我的使用情況如下：

一個外部代理將請求發送到像

http://server-url/oauth/token?client_id=clientId&client_secret=clientSecret&grant_type=client_credentials 

和獲得的access_token。然後，我的網址（受保護的資源）應該是入店的東西，如

http://server-url/resource?access_token={access-token obtained before} 

我期待的東西，使上Grails的方便，快捷這樣做。什麼將是最好的方式/工具/插件用於此？抄寫庫是一個選項，如果有針對我的特定用例的任何教程，它將會很棒。

P.S：我已經嘗試了彈簧安全及相關插件，沒有喜悅那裏。任何替代品都會很好。

Answer 1

根據我的經驗，抄寫員是專爲OAuth的1.0和只具有的OAuth 2.0的支持非常有限。實際上，爲了測試我們自己的OAuth 2實現，我們可以使用的所有內容都是HTTP請求封裝，我們不得不手動執行其他任何操作。幸運的是，手動操作非常容易。

因爲我還沒有找到一個Java的罰款開放的OAuth 2.0庫（坦率地說我不熟悉使用Groovy），我鼓勵你寫客戶端代碼自己。您甚至不需要客戶端回調端點來使用客戶端憑據授權流程。因此，您只需創建一個HTTP請求（正如您已經在上面寫過的那樣，請注意轉義GET參數）並獲取響應內容。您的流程不使用重定向，因此只需在響應內容中解析JSON對象，例如與org.json庫。最後，使用提取的訪問令牌發送HTTP請求。

請注意，您的示例不完全符合標準。該標準要求使用HTTPS，將標記發送到HTTP標頭而不是GET參數，並建議使用HTTP基本授權標頭而不是GET參數來指定客戶端憑證。

我可能誤解了你的問題，你可能要實現服務器端也。抄寫庫只支持客戶端，所以你可以找到一個商業實現或實現你自己的服務器。這是一項複雜的任務，但如果您僅支持客戶端憑證流，則幾乎變得非常容易。 ;-)

Answer 2

我有同樣的問題。我發現了很多grails插件，可以幫助您針對其他oauth提供商驗證您的應用程序，但沒有什麼能夠幫助我將應用程序變成oauth提供程序。經過大量的挖掘之後，我遇到了這個grails插件，它將完全按照您的要求進行。

https://github.com/adaptivecomputing/grails-spring-security-oauth2-provider

我仍然可以配置爲我的申請，我認爲該文檔可能需要幾個編輯（特別是authorization_code流），但我得到了簡單的client_credentials流量與最小配置工作。希望有所幫助！

Answer 3

這不是一個插件，它只是一個示例Grails應用程序，它作爲一個OAuth的提供商。這是很容易學習和使用的Grails 3.

https://github.com/bobbywarner/grails3-oauth2-api