Spring Security中具有密码授予权限的oAuth2客户端

通过浏览Spring Security OAuth来源以及在线找到的其他解决方案的一些片段，我已经混搭了一个类似的解决方案。我正在使用Java
Config，但也许可以帮助您映射到xml配置，如下所示：

@Configuration@EnableOAuth2Clientpublic class RestClientConfig {    @Value("${http.client.maxPoolSize}")    private Integer maxPoolSize;    @Value("${oauth2.resourceId}")    private String resourceId;    @Value("${oauth2.clientId}")    private String clientId;    @Value("${oauth2.clientSecret}")    private String clientSecret;    @Value("${oauth2.accessTokenUri}")    private String accessTokenUri;    @Autowired    private OAuth2ClientContext oauth2ClientContext;    @Bean    public ClientHttpRequestFactory httpRequestFactory() {        return new HttpComponentsClientHttpRequestFactory(httpClient());    }    @Bean    public HttpClient httpClient() {        PoolingHttpClientConnectionManager connectionManager = new PoolingHttpClientConnectionManager();        connectionManager.setMaxTotal(maxPoolSize);        // This client is for internal connections so only one route is expected        connectionManager.setDefaultMaxPerRoute(maxPoolSize);        return HttpClientBuilder.create().setConnectionManager(connectionManager).build();    }    @Bean    public OAuth2ProtectedResourceDetails oauth2ProtectedResourceDetails() {        ResourceOwnerPasswordResourceDetails details = new ResourceOwnerPasswordResourceDetails();        details.setId(resourceId);        details.setClientId(clientId);        details.setClientSecret(clientSecret);        details.setAccessTokenUri(accessTokenUri);        return details;    }    @Bean    public AccessTokenProvider accessTokenProvider() {        ResourceOwnerPasswordAccessTokenProvider tokenProvider = new ResourceOwnerPasswordAccessTokenProvider();        tokenProvider.setRequestFactory(httpRequestFactory());        return new AccessTokenProviderChain(       Arrays.<AccessTokenProvider> asList(tokenProvider)     );    }    @Bean    public OAuth2RestTemplate restTemplate() {        OAuth2RestTemplate template = new OAuth2RestTemplate(oauth2ProtectedResourceDetails(), oauth2ClientContext);        template.setRequestFactory(httpRequestFactory());        template.setAccessTokenProvider(accessTokenProvider());        return template;    }   }

我发现的重要一点是，即使对于单个提供程序，也需要使用AccessTokenProviderChain，否则自动令牌刷新（在身份验证之后）将无法工作。

要在第一个请求上设置用户凭据，您需要：

@Autowiredprivate OAuth2RestTemplate restTemplate;restTemplate.getOAuth2ClientContext().getAccessTokenRequest().set("username", username);restTemplate.getOAuth2ClientContext().getAccessTokenRequest().set("password", password);

然后，您可以使用RestTemplate方法正常发出请求，例如：

    String url = "http://localhost:{port}/api/users/search/findByUsername?username={username}";    ResponseEntity<User> responseEntity = restTemplate.getForEntity( url, User.class, 8081, username);

如果要跟踪网络上的请求，可以将apache http客户端上的日志级别设置为DEBUG，例如使用Spring Boot：

logging.level.org.apache.http = DEBUG