클라이언트 비밀없이 Spring OAuth2 서버로부터 access_token을 얻을 수 있습니까?

Question

스프링 보안의 OAuth2 서버 구현을 사용하고 있습니다. 서버의 /oauth/token 엔드 포인트에서 OTAuth2 "암호"부여 유형을 사용하여 access_token을 얻으려는 중입니다. 사용자 이름과 암호 및 클라이언트 ID없이 클라이언트 ID 만 제공합니다. 여기에 조언에 따라

curl -u clientid:clientsecret http://myhost ... -d "grant_type=password&username=user&password=pw&client_id=OAUTH_CLIENT" 

: 이만큼 나는 클라이언트 ID 등처럼 내 HTTP 요청의 Authorization 헤더에있는 클라이언트의 비밀을 제공하기 때문에 잘 작동 Spring OAuth2 disable HTTP Basic Auth for TokenEndpoint을, 나는을위한 HTTP 기본 인증을 사용하지 않도록 관리 /auth/token 끝점. 내가 지금처럼 컬를 통해 access_token과를 얻기 위해 시도 때 :

curl http://myhost ... -d "grant_type=password&username=user&password=pw&client_id=OAUTH_CLIENT" 

을 나는 BadCredentialsException을 가지고와 메시지를 볼 수 있습니다 :

인증 실패 : 암호가 저장된 값과 일치하지 않습니다

내 서버의 로그에

이 시점에서 나는이 메시지가 클라이언트 ID 및/또는 비밀 번호가 아닌 사용자 이름 및/또는 암호에 문제가있을 때만 나타나는 것으로 이해했기 때문에 약간 짜증이났습니다. 다음과 같이 cURL 명령에서 클라이언트 비밀 번호를 추가로 제공 한 후 :

curl http://myhost ... -d "grant_type=password&username=user&password=pw&client_id=OAUTH_CLIENT&client_secret=SECRET" 

모든 것이 다시 정상적으로 처리되었습니다.

그렇다면 /auth/token 엔드 포인트에 액세스하기 위해 클라이언트 암호를 다른 방법으로 제공해야한다는 의미입니까?

추신 : 저는 보안과 관련하여 일반적으로 HTTP 기본 인증을 통해이 끝점을 보호하는 것이 좋지만 실제로 사용하지 않을 수있는 사용 사례가 있음을 알고 있습니다.

편집 :

나는 클라이언트 비밀을 생략하는 방법을 찾은 것 같습니다.

@Configuration 
@EnableAuthorizationServer 
class OAuth2Config extends AuthorizationServerConfigurerAdapter { 

    private final AuthenticationManager authenticationManager; 

    public OAuth2Config(AuthenticationManager authenticationManager) { 
     this.authenticationManager = authenticationManager; 
    } 

    @Override 
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { 
     endpoints.authenticationManager(this.authenticationManager); 
    } 

    @Override 
    public void configure(AuthorizationServerSecurityConfigurer oauth) throws Exception { 
     // allows access of /auth/token endpoint without HTTP Basic authentication 
     oauth.allowFormAuthenticationForClients(); 
    } 

    @Override 
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception { 
     clients 
     .inMemory() 
     .withClient("acme") 
     .autoApprove(true) // <- allows for client id only 
     .authorizedGrantTypes("authorization_code", "refresh_token", "password").scopes("openid"); 
    } 

} 

편집 II :

여기 질문 : Spring Security OAuth 2.0 - client secret always required for authorization code grant가 매우 밀접하게 OAuth2를 부여 유형이 하나 있지만 거래와 관련된 "인증 여기 내 OAuth2를 서버 구성합니다 (allowFormAuthenticationForClients() 호출 및 autoApprove(true) 통지)입니다 코드 "를 입력하면 부여 유형"비밀번호 "와 다른 워크 플로가 생성됩니다. 응용 프로그램의 클라이언트 유형 인 경우

Answer 1

은 사양 (RFC 6749)에 따르면, 공공는 클라이언트 비밀번호가 필요하지 않습니다. 반대로 클라이언트 유형이 인 경우이면 클라이언트 비밀번호가 필요합니다.

스프링이 클라이언트 유형을 설정하는 API를 제공하는 경우 클라이언트 유형을 공개으로 설정하십시오.

Answer 2

스프링 부트 구현시 인증을 위해 클라이언트 - 비밀이 전달되어야합니다. 그러나 이것을 AuthorizationServerConfigurer 유형의 bean을 작성하고 직접 구성하여이를 대체 할 수 있습니다.This is the link to the documenation...