Spring Security OAuth2デフォルトトークンエンドポイントを変更するにはどうすればよいですか？

Spring-security-oauth2のバージョン2.0.5.RELEASE以上で

Javaベースの構成の1行で、テストされ、正常に動作します。どういうわけか、TokenEndpointクラスのRequestMapping値をオーバーライドしています。

@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {      

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
            endpoints
                .pathMapping("/oauth/token", "<your custom endpoint>")
        }
}

数日間これに苦労しましたが、現在最新のSpring Oauth2 1.0.5.RELEASEで動作させています。私のソリューションが最高級（特にステップ4）であることを100％確信することはできませんが、それは機能し、前進することができます。

私の場合、URLから/oauthプレフィックスを削除して、最終的に/tokenと/authorizeになるようにしました。私にとっての解決策は、主にxml構成で、エンドポイント要求のマッピングをオーバーライドする2つのハックがありました。

1-アプリコンテキストxmlで、authorization-endpoint-urlおよびtoken-endpoint-url属性を<oauth:authorization-server>要素に追加します。

私の：

<oauth:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices" user-approval-handler-ref="userApprovalHandler" authorization-endpoint-url="/authorize" token-endpoint-url="/token">

2-アプリコンテキストxmlで、セキュリティエンドポイントを適宜調整します。トークンと認証URLのセキュリティをそれぞれ管理する2つが必要です。 <http>および<intercept-url>タグのパターン小道具を更新する必要があります。

私の：

<http pattern="/token/**" create-session="stateless" authentication-manager-ref="clientAuthenticationManager" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/token/**" access="IS_AUTHENTICATED_FULLY" />

...

<http pattern="/authorize/**" access-denied-page="/login.jsp?authorization_error=true" disable-url-rewriting="true" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/authorize/**" access="IS_AUTHENTICATED_FULLY" />

3-（オプションのclientCredsフィルターを使用することを選択した場合。）アプリコンテキストxmlで、clientCredentialsTokenEndpointFilter Beanを<custom-filter> within yourelement. So, within the filter's bean, add afilterProcessesUrl`プロパティとして既にワイヤードインしている必要があります。

私の：

<bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
    <property name="authenticationManager" ref="clientAuthenticationManager" />
    <property name="filterProcessesUrl" value="/token" />
</bean>

4-最後のステップは、実際の内部エンドポイントコントローラのリクエストマッピングURLをオーバーライドすることです。 spring oauth2ライブラリには、AuthorizationEndpointとTokenEndpointの2つのクラスが付属しています。それぞれが@RequestMappingタイプのアノテーションを使用して、URLをバインドします（プロジェクトのアプリコントローラーで行うように）。私にとっては、srcフォルダーで（悲しいことに）springクラスパッケージを再作成し、AuthorizationEndpointクラスとTokenEndpointクラスをそのフォルダーにそのままコピーする以外の方法で、要求マッピングの値をオーバーライドしようとするのは非常に困難でした。インライン@RequestMappingアノテーション値を編集します。

とにかく、それはトリックを行います。エンドポイントコントローラーのリクエストマッピング値をオーバーライドする、より優雅な方法を聞きたいと思います。

ありがとう。

最終的な作業アプリのコンテキスト：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:sec="http://www.springframework.org/schema/security" xmlns:oauth="http://www.springframework.org/schema/security/oauth2"

  xsi:schemaLocation="
    http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
    http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.2.xsd
    http://www.springframework.org/schema/security/oauth2 http://www.springframework.org/schema/security/spring-security-oauth2.xsd
  "
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
>

  <!-- Declare OAuth2 services white-list. (This is the top of the config.) -->
  <oauth:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices" user-approval-handler-ref="userApprovalHandler" authorization-endpoint-url="/authorize" token-endpoint-url="/token">
    <oauth:authorization-code />
    <oauth:implicit />
    <oauth:refresh-token />
    <oauth:client-credentials />
    <!-- <oauth:password /> -->
  </oauth:authorization-server>
  <bean id="userApprovalHandler" class="org.springframework.security.oauth2.provider.approval.TokenServicesUserApprovalHandler">
    <!-- This bean bridges client auth service and user tokens... kind of an out of place requirement. -->
    <property name="tokenServices" ref="tokenServices" />
  </bean>

  <!-- This starts the far back-end config for client token management. -->
  <sec:authentication-manager id="clientAuthenticationManager">
    <sec:authentication-provider user-service-ref="clientDetailsUserService" />
  </sec:authentication-manager>
  <bean id="clientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
    <constructor-arg ref="clientDetailsService" />
  </bean>
  <bean id="clientDetailsService" class="com.mycompany.oauth.spring.security.oauth2.IntegratedOauth2ClientDetailsService">
    <!-- This bean is what wires OAuth2 into the persistence stack for client details stored in the oauth_client table. -->
  </bean>


  <!-- OAuth is layered on to spring security which is centered around users which requires a user auth manager.  -->
  <authentication-manager alias="authenticationManager" xmlns="http://www.springframework.org/schema/security">
    <authentication-provider ref="daoAuthenticationProvider" />
  </authentication-manager>
  <bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <property name="userDetailsService" ref="userDetailsService" />
  </bean>

  <bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
    <property name="tokenStore" ref="tokenStore" />
    <property name="supportRefreshToken" value="true" />
    <property name="clientDetailsService" ref="clientDetailsService" />
  </bean>
  <bean id="tokenStore" class="com.mycompany.oauth.spring.security.oauth2.IntegratedOAuth2TokenStore">
    <!-- This bean is what wires OAuth2 tokens into my company's application stack. -->
    <constructor-arg ref="dataSource" />
  </bean>

  <!-- **************************************************************************************** -->
  <!-- Finally, sew OAuth into spring security with some http tags... -->
  <!-- **************************************************************************************** -->

  <!-- The OAuth2 endpoint for direct token requests (i.e. for client_credentials flow). -->
  <http pattern="/token/**" create-session="stateless" authentication-manager-ref="clientAuthenticationManager" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/token/**" access="IS_AUTHENTICATED_FULLY" />
    <anonymous enabled="false" />
    <http-basic entry-point-ref="clientAuthenticationEntryPoint" />
    <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
    <access-denied-handler ref="oauthAccessDeniedHandler" />
  </http>
  <bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
    <property name="authenticationManager" ref="clientAuthenticationManager" />
    <property name="filterProcessesUrl" value="/token" />
  </bean>
  <bean id="clientAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
    <property name="realmName" value="myrealm" />
  </bean>
  <bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />

  <!-- The OAuth2 endpoint for user-approved authorization (i.e. for "authorization" flow involving user login/approve). -->
  <http pattern="/authorize/**" access-denied-page="/login.jsp?authorization_error=true" disable-url-rewriting="true" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/authorize/**" access="IS_AUTHENTICATED_FULLY" />
    <form-login authentication-failure-url="/login.jsp?authentication_error=true" default-target-url="http://www.mycompany.com/" login-page="/login.jsp" login-processing-url="/login.do" />
    <http-basic />
    <anonymous />
  </http>

</beans>

トークンエンドポイントURLをカスタマイズするには、次の手順を実行します。

1）ClientCredentialsTokenEndpointFilterクラスを拡張する独自のクラスを作成し、ClientCredentialsTokenEndpointFilterクラスコンストラクターを「/ external/oauth/token」値で呼び出します。

super("/external/oauth/token");

2）セキュリティ構成に新しいカスタマイズフィルターを接続します。

交換

<custom-filter ref="clientCredentialsTokenEndpointFilter" after="BASIC_AUTH_FILTER" />

と

<custom-filter ref="your customize filter" after="BASIC_AUTH_FILTER" />

3）新しいマッピング（/ external/oauth/token）用の独自のクラスを作成し、tokenendpointを拡張します。

4）httpおよびintercept-url要素のパターン属性値を「/ external/oauth/token」に変更します

あなたはこれを本来あるべきものよりも難しくしている、それは実際には非常に簡単です！ （XMLタグとして「oauth：」の代わりに「oauth2：」を使用していることに注意してください）

1. Security-context.xmlに移動します

2. 上記のファイルで「oauth2：authorization-server」を見つけます。

   <oauth2:authorization-server
                   client-details-service-ref="someService"
                   request-validator-ref="someScopeRequestValidator"
                   token-services-ref="someTokenServices" >
   

3. token-endpoint-url="/oauth/whatever_you_like"を追加するだけです

   <oauth2:authorization-server
                   client-details-service-ref="someService"
                   request-validator-ref="someScopeRequestValidator"
                   token-services-ref="someTokenServices" 
   **token-endpoint-url="/oauth/whatever_you_like"** >