oauth2密码登陆的一个大坑——scope

最新推荐文章于 2024-03-12 11:24:26 发布
最新推荐文章于 2024-03-12 11:24:26 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: 安全 Java 文章标签: oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42697271/article/details/118407600
版权
Java 同时被 2 个专栏收录
75 篇文章 0 订阅
订阅专栏
安全
3 篇文章 0 订阅
订阅专栏

笔者最近在给自己的分布式项目添加授权登陆模块的时候碰到了一个问题,就是调用密码登陆服务(/oauth/token)的时候报400的错误,起初以为是入参字段写错了或少写了,后面才发现并不是这样,而是scope这个入参数的隐藏属性导致的,下面记录下笔者碰到的问题、解决思路、和解决办法

文章目录

一、碰到的问题

2021-07-02 10:51:02.821 [http-nio-8877-exec-1] ERROR c.m.u.service.impl.LoginServiceImpl - [TID:dce9a7a6605645669b1727bb0d6b8ff5.118.16251942566390001] - 用户:muyichen,登陆异常:{} 
org.springframework.web.client.HttpClientErrorException$BadRequest: 400 null
	at org.springframework.web.client.HttpClientErrorException.create(HttpClientErrorException.java:79)
	at org.springframework.web.client.DefaultResponseErrorHandler.handleError(DefaultResponseErrorHandler.java:122)
	at org.springframework.web.client.DefaultResponseErrorHandler.handleError(DefaultResponseErrorHandler.java:102)
	at org.springframework.web.client.ResponseErrorHandler.handleError(ResponseErrorHandler.java:63)
	at org.springframework.web.client.RestTemplate.handleResponse$original$UOFkryug(RestTemplate.java:778)
	at org.springframework.web.client.RestTemplate.handleResponse$original$UOFkryug$accessor$JA7AeVwq(RestTemplate.java)
	at org.springframework.web.client.RestTemplate$auxiliary$FcdkGx0t.call(Unknown Source)

二、解决思路

  • 1、检查错误日志
    看到上面面的日志后,果断选择了pass,日志中并没有给出什么能解决问题的错误信息;
  • 2、尝试用postman直接请求该地址
    果然,代码中无法转译的错误信息,使用postman请求时一目了然,错误如下:
{
    "error": "invalid_scope",
    "error_description": "Invalid scope: all",
    "scope": "read write"
}

三、解决办法

将原scope参数中的all入参值改为:read、write或者read write
以空格隔开的参数,oauth会将起读取成两个参数,如下图:
在这里插入图片描述

四、总结

  • 1、如将client_id和client_secret两个参数放在请求体或者url中,oauth2的scope取值范围只有all,如下图:
    在这里插入图片描述
  • 2、如将client_id和client_secret两个参数放在请求头中,oauth2的scope取值范围会变成:read、write,如下图
    在这里插入图片描述
缘丶沐逸尘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
OAuth获取token,报401错误
Victor_Frankenstein的博客
03-30 748
使用Postma获取OAuth授权码模式的token,发post请求token的时候报401错误,最后把client_secret也传过去才成功获得。
spring security oauth2 的 scope 概念
最新发布
qq_41045651的博客
03-12 515
通常,如果你想实现用户登录和认证功能,你会请求"openid" scope。如果你的应用程序需要用户的许可来执行一些操作,比如发布消息到他们的社交媒体账户,你可以请求"write" scope以获取修改用户资源的权限。例如,如果你正在开发一个应用程序,需要从用户的个人资料中读取信息,比如用户名、年龄等,你可以请求"read" scope来获取这些信息。自定义scope:除了上述内置的scope之外,你还可以定义自己的scope,根据你的应用程序的特定需求,例如"photos"、"documents"等。
c语言ab43错误的是,Azure AD 获得 Token 的时候得到 invalid_scope 的错误
weixin_36083698的博客
05-19 275
完整的错误信息如下:{"error":"invalid_scope","error_description":"AADSTS70011:Theprovidedrequestmustincludea'scope'inputparameter.Theprovidedvaluefortheinputparameter'scope'isnotva...
解决OAuth Token,点击退出登录报404问题
大军的博客
03-04 4788
解决OAuth Token,点击退出登录报404问题
Spring Security OAuth2.0申请令牌访问/oauth/token时候报401 authentication is required
传智燕青
10-11 6212
问题出处 在访问Spring Security OAuth2.0提供的/oauth/token断点申请令牌报401 authentication is required错误。 具体场景如下: 1、使用OAuth2.0的密码模式认证 2、问题图片如下: 解决问题 在/oauth/token 的请求中我们指定了client_id和client_secret,所以会走ClientCredentials...
Oauth2 踩坑记录
12-12 246
使用springboot + oauth2 + security 整合了一把,结果获取access_token这一步就拦住了 我主要是试了试 grant_type password的情况 请求地址是 /oauth/token 请求的form里面是 grant_type 授权类型 这个很...
微信oauth2.0报错,Scope参数错误或没有Scope权限
alex_fung的博客
03-29 5840
上图: 一般是因为没有设置微信后台参数,设置方式如下: 登陆微信后台-->开发-->接口权限-->网页授权获取用户基本信息-->修改-->填写信任域名即可
OAuth2.0中的scope和RBAC中的role有什么关系
码农小胖哥
11-16 3218
使用了OAuth2.0授权协议之后我们在API的访问控制时又多了一个scope的概念。它和角色访问控制的作用类似,有点让人有点模糊不清。今天我们来理清楚这两个概念。scopescope是 ...
oauth2密码模式java版
12-12
oauth2密码模式的java版本,服务端和客户端,希望能帮助到大家
oauth2-example:Go的一个简单Oauth2示例
02-03
OAuth是一项规范,允许用户委派访问其数据的权限,而无需与该服务共享用户名和密码,如果您想了解有关Oauth2的更多信息,请访问。 配置Google Project 首先,我们需要创建我们的Google Project并创建OAuth2凭据。 ...
oauth2密码模式分离
08-09
oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离
oauth2密码模式mysql模式
08-13
oauth2密码模式mysql模式,有走redis存储token的,改一下配置即可
Spring Security OAuth2之scopes配置详解
OceanSky的专栏
07-30 1万+
1.先看下官方文档的说明 地址:https://projects.spring.io/spring-security-oauth/docs/oauth2.html scope: The scope to which the client is limited. If scope is undefined or empty (the default) the client is not limit...
解决Spring Security OAuth在访问/oauth/token时候报401 authentication is required
热门推荐
u012040869的博客
04-29 6万+
先来张图片 我在用psotman 测试oauth授权码模式的出现了401的异常, 就是调用oauth/token. 我是想用code换token,但是发现报错了。这是为什么呢? 首先你要理解 /oauth/token 这个如果配置支持allowFormAuthenticationForClients的,且url中有client_...
volatile关键字的作用和原理
qq_42697271的博客
10-26 2万+
文章目录一、volatile关键字的作用二、volatile的底层原理三、volatile的适用场景 一、volatile关键字的作用 二、volatile的底层原理 三、volatile的适用场景
使用easyexcel需要注意的一些问题
qq_42697271的博客
05-14 1万+
笔者这几天都在做excel的导入导出工作,期间碰到了一些问题,在这里记录一下。 目录一、java.lang.NoClassDefFoundError: org/apache/poi/poifs/filesystem/FileMagic二、Convert excel format exception.You can try specifying the 'excelType' yourself 一、java.lang.NoClassDefFoundError: org/apache/poi/poifs/.
Java如何处理并发情况下数据重复插入的问题
qq_42697271的博客
05-23 1万+
笔者这段时间在做第三方用户接入的时候碰到了一个问题:由于自身的系统是在第三方发送请求的时候直接将第三方的账号数据存入数据库的,所以当页面出现多个请求并发执行的时候,会出现用户数据重复插入的问题,之后笔者尝试了几种方式最终解决了这个问题,在此记录一下。 目录一、单台服务器的处理方案二、多台服务器环境下的处理方案 一、单台服务器的处理方案 这种情况是最简单的一种情况,笔者的处理方法是给插入数据的代码块加锁,这样就能保证同一时间只能有一个线程访问该段代码快,这样只要在代码块的开头加上有无相同数据的判断,就.
微服务面试题
qq_42697271的博客
06-08 7017
目录一、什么微服务?二、微服务优缺点三、场景启动器的工作原理是什么?四、Spring Boot 的自动配置是如何实现的?五、Eureka的工作原理六、Ribbon的负载均衡原理七、Ribbon的负载均衡算法八、Hystrix断路器工作原理 序号 内容 链接地址 1 JVM面试题 https://blog.csdn.net/qq_42697271/article/details/114156410 2 hibernate面试题 https://blog.csdn.net/qq_42697
java 写一个oauth2 登陆校验
04-21
对于你提出的问题,我可以回答。OAuth 2.0 是一种基于授权的开放式标准协议,用于授权第三方应用程序访问授权范围内的用户数据。实现 OAuth2 登录校验的关键在于生成和验证 token,具体实现方式可以参考 OAuth2 相关的开源框架,如 Spring Security OAuth2。需要注意的是,在实际应用中,为确保数据安全性,建议加入 SSL/TLS 协议保证通信数据的加密传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

缘丶沐逸尘

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值