• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

질문드립니다. 초기화 과정 이해 - OAuth2AuthorizationServerConfiguration - [06:27]

22.11.11 16:10 작성 조회수 447

0

안녕하세요

Spring Authorization Server

초기화 과정 이해 - OAuth2AuthorizationServerConfiguration 강의 중

[06:27] 에서

ResourceOwnerPasswordCredentialsAuthenticationProvider 가 없다고 하셨는데

그렇다면 패스워드 자격증명 승인 방식은 사용할수 없나요?

course-thumbnail

스프링 시큐리티 OAuth2

초기화 과정 이해 - OAuth2AuthorizationServerConfigurer

강의실 바로가기

답변 1

답변을 작성해보세요.

1

정수원님의 프로필

정수원

지식공유자

2022.11.14

시큐리티 인가서버에서 Resource Owner Password Grant Type 은 현재 지원하지 않고 있습니다.

다만 AuthenticationProvider 를 사용자 정의해서 추가할 수 는 있습니다.

왜 지원하지 않는지 정확하게는 모르겠지만 추측으로는 OAuth 2.1 사양에서는 Implicit 와 Password 방식이 Deprecated 되어서 그럴 수 있겠다 정도입니다.

https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-07

공식 문서에 보시면

image

과 같이 위의 세가지만 지원하고 있습니다.

참고하시면 되겠습니다.

오투오공용님의 프로필

오투오공용

질문자

2022.11.15

답변 감사합니다!
Resource Owner Password Grant Type 이 안티 패턴이라 더이상 지원되지 않는다면

4가지 유형중 사용자 토큰을 발급하는 type은 authorization code 가 유일한고
해당 방법은 웹 브라우저를 거쳐야하는데

간단한 자사앱에 api 호출만으로 사용자 인증 토큰을 발급하려면
답변해주신 AuthenticationProvider 사용자 정의 방법말 외에는 없을까요?

아니면 oauth2 authorization server 를 사용하면서
자사앱 에 한에 기본 시큐리티에 jwt 인증 토큰 발급 기능을 구현하는 방식도 괜찮은가요?

마지막으로 혹시 본 강의에 AuthenticationProvider 를 사용자 정의하여 Resource Owner Password Grant Type 과 비슷한 방식으로 인증 토큰을 발급하는 강좌가 있나요?

이 글과 비슷한 Q&A