首先，咱们拆解下你遇到的问题：在尝试用OAuth2密码流获取access_token时，抛出了OAuth2AccessDeniedException: Unable to obtain a new access token for resource 'null'. The provider manager is not configured to support it.错误，核心问题出在配置类的资源类型不匹配和请求方式不符合OAuth2密码流规范上，咱们一步步来解决。

错误原因分析 #

1. 配置类选型错误：你用了ClientCredentialsResourceDetails，这个类是专门给客户端凭证模式（Client Credentials Flow）设计的，但你的场景是密码模式（Resource Owner Password Credentials Flow），两者的配置逻辑完全不同，这是导致错误的核心原因。
2. 请求方式不符合规范：OAuth2密码流要求必须用POST请求提交参数（grant_type、username、password等），而你用了GET请求直接把参数拼在URL里，这不仅不符合规范，还存在密码暴露的安全风险。
3. RestTemplate初始化逻辑不匹配：因为用错了资源类，OAuth2RestTemplate无法正确识别密码模式的配置，自然无法完成token的获取流程。

修复方案 #

1. 替换配置类中的资源类型 #

把ClientCredentialsResourceDetails换成密码模式对应的ResourceOwnerPasswordResourceDetails：

@Configuration
public class WebPortalConfig {
    @Bean
    @ConfigurationProperties("security.oauth2.client")
    public ResourceOwnerPasswordResourceDetails oAuthDetails() {
        return new ResourceOwnerPasswordResourceDetails();
    }

    @Bean
    public OAuth2RestTemplate restTemplate() {
        return new OAuth2RestTemplate(oAuthDetails());
    }
}

2. 完善application.yml配置（确保参数完整） #

你的yml配置基本正确，如果授权服务器要求指定scope，可以补充配置：

security:
  oauth2:
    client:
      grant-type: password
      client-id: web
      client-secret: 14292
      access-token-uri: http://127.0.0.1:9098/oauth/token
      # 若授权服务器有指定scope，按需添加
      # scope: read write

3. 修正Service中的token获取方法 #

不要自己拼接URL和用GET请求，直接利用OAuth2RestTemplate的能力，它会自动按照密码流规范发送POST请求：

private OAuthDetails getOAuthDetails(String username, String password) {
    // 给资源类动态设置用户名密码（建议从前端传入，不要硬编码）
    ResourceOwnerPasswordResourceDetails details = (ResourceOwnerPasswordResourceDetails) oAuthDetails();
    details.setUsername(username);
    details.setPassword(password);

    // OAuth2RestTemplate会自动处理token请求流程
    OAuth2AccessToken accessToken = restTemplate.getAccessToken();
    
    // 转换为自定义的OAuthDetails对象
    OAuthDetails oAuthDetails = new OAuthDetails();
    oAuthDetails.setAccess_token(accessToken.getValue());
    oAuthDetails.setToken_type(accessToken.getTokenType());
    oAuthDetails.setRefresh_token(accessToken.getRefreshToken().getValue());
    oAuthDetails.setExpires_in(accessToken.getExpiresIn());
    
    return oAuthDetails;
}

如果不想强转资源类，也可以直接构建POST请求体调用：

private OAuthDetails getOAuthDetails(String username, String password) {
    MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
    params.add("grant_type", "password");
    params.add("username", username);
    params.add("password", password);
    params.add("client_id", "web");
    params.add("client_secret", "14292");

    HttpHeaders headers = new HttpHeaders();
    headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
    HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(params, headers);

    return restTemplate.postForObject("http://127.0.0.1:9098/oauth/token", request, OAuthDetails.class);
}

更优方案建议 #

1. 避免硬编码敏感信息：不要把用户名、密码、client-secret硬编码在代码里，建议从前端请求参数获取用户名密码，client信息从配置文件读取。
2. 用WebClient替代RestTemplate：RestTemplate已处于维护模式，Spring官方推荐用响应式的WebClient处理HTTP请求，结合WebClientOAuth2AuthorizedClientExchangeFilterFunction可以更优雅地处理OAuth2流程。
3. token自动刷新与持久化：OAuth2RestTemplate支持自动刷新token，当token过期时，它会自动用refresh_token获取新token，无需手动处理。
4. 敏感信息加密：对于client-secret这类敏感配置，建议用Jasypt或Spring Cloud Config的加密功能处理，避免明文存储。

内容的提问来源于stack exchange，提问作者Nafaz M N M