OAuth 2.0 とか OpenID Connect の全体のフローを作ってみたいと思ったので、とりあえずOAuth 2.0で動くJavaScriptクライアントをSingle Page Applicationとして作ってみたいと思います。 OAuth 2.0 を利用する上で推奨されるセキュリティ上の対策がいくつか…

前回は認可をテストしてみたので、認可についてもテストしてみようかと思います。 認可については認証から切り離してテストすることができましたが、認証は認可と切り離さずテストする感じですね。というのも、このやり方は AuthenticationFilter ごと実行さ…

Spring Security のテストってどうやるのか調査してみました。 Spring Security ではテストもサポートされていて、Spring Security に関係するコードをJUnitなどで簡単にテストできるようになっています。今回は認可に関係する部分を探っていきたいなと思い…

ちょっとタイトルが分かりづらいですが、Spring Security で作ったリソースサーバーがJWTから Granted Authorities を作る件についての話です。 Spring Security が JWT から Authentication を作る仕組み 公式リファレンスにわかりやすい図とともに載ってま…

リソースサーバーを作ってみようかと思い立ちまして。 全体のイメージはこんな感じで考えています。 クライアントはcurlコマンドを使ってリソースオーナーパスワードクレデンシャルフローでアクセストークンを取得します。リソースオーナーパスワードクレデ…