1
私は、クライアントID /クライアントの秘密を持つユーザーを認証するためのスプリングセキュリティoauth2パスワード許可を使用しています。私が直面している問題は、エンドポイントがクエリパラメータとしてパスワードを取得することです。これは、このサービスが実行されるサーバーのアクセスログに記録されます。私はHTTPを使用してトークンエンドポイントを内部的に呼び出すエンドポイント上のラッパーを持っています。春セキュリティoauth2トークンエンドポイントのURLのパスワード
私はサーバーを制御できないため、パスワードをマスクしたり、アクセスログを無効にすることはできません。
これを実行するためにRESTエンドポイントを使用せずに、基礎となるエンドポイント・コントローラー・メソッド自体を直接呼び出す方法はありませんか、または照会パラメーターによってパスワードを送信する必要がない他の方法がありますか?
最初の印象は、OAuth2フローに関するアプリケーションで何か問題があったことです。認証サーバーはOAuth2仕様に従って正しく動作しますか?それは自宅で実装された実装か商用製品かSpring Security OAuth2ですか? OAuth2に関するあなたのアプリケーションで何をしましたか?実際に誰もあなたを助けることができなければ、あなたの実装を見せてください。ありがとう。 –
私はusername、password、clientid、およびclient_secretを受け取り、認証のためのスプリングトークンエンドポイントを呼び出す認証用のラッパーサービスを追加しました。スプリングトークンエンドポイントは/ oauth/token?username = name&password = password&grant_type = passwordと呼ばれます。基本認証を含む認証ヘッダーをbase64でエンコードされたクライアントIDと秘密で渡します。問題は私のアプリケーションにあるとは思わない。私は春のoauthエンドポイント自体について話しています。 URLパラメータとしてusername、password、grant_typeが使用され、アクセスログに記録されます。 – user3565529