我有 2 个关于 Spring 授权服务器 OAuth2 客户端创建的问题,这可能听起来很愚蠢。
问题1:
在Spring授权服务器的例子中我看到了“{noop}secret”。下面的代码中的“{noop”} 应该做什么?
RegisteredClient.withId(UUID.randomUUID().toString())
.clientId(clientId)
.clientSecret("{noop}"+secret). //<-- this
.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
.authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
.scope(OidcScopes.OPENID)
.scope(OidcScopes.PROFILE)
我没有创建任何 BCryptPasswordEncoder 等 bean,所以听起来我需要声明该类型的 bean。在保存 OAuth2 客户端时,我是否需要以编程方式对秘密进行编码,如下所示:
.clientSecret(bcryptPassword.encode(secret)). // like that?
问题2: 几个月前我创建了一个 OAuth2 客户端,现在我不再记得这个秘密了。当我查看数据库时,它采用 bcrypt 形式“{bcrypt}$2a$...”,我不知道它是如何变成这个值的。我相信它在“{noop}mysecretvalue”中。
谢谢你
问题1:
如果您不想在将密码保存到存储库时对其进行编码,可以通过在您的密码中添加前缀
{noop}NoOpPasswordEncoder如果您使用
BCryptPasswordEncoder例如:
clientSecret(bcryptPasswordEncoder.encode(secret))但是,
NoOpPasswordEncoderBcrypt问题2:
这是由于 Spring 授权服务器中的
UpgradeEncodingBCryptPasswordEncoder{noop}secretNoOpPasswordEncoder