OAuth2RestOperations 使用从请求标头获取的令牌，而不是请求身份验证服务器

Posted 2023-02-27

【中文标题】OAuth2RestOperations 使用从请求标头获取的令牌，而不是请求身份验证服务器

【英文标题】：OAuth2RestOperations uses token obtained from request header instead of requesting the auth server

【发布时间】：2021-01-21 07:48:09

【问题描述】：

我有一个使用 OAuth2RestTemplate 作为 OAuth2Client 的 Spring Boot 客户端应用程序。我已将 OAuth2RestTemplate 配置为调用 authserver 并将从中获得的令牌添加到用于访问资源服务器的标头中。 发生的问题是，每当我在客户端应用程序中调用该方法以使用 restTemplate 访问资源服务器时，它使用来自客户端应用程序请求标头的令牌而不是调用身份验证服务器。 它使用该令牌，并且该令牌被我的资源服务器拒绝。被拒绝后，它只会调用身份验证服务器并放入正确的令牌，然后再次将请求发送到我的资源服务器。

有没有办法让rest模板不使用标头中的令牌并在连接资源服务器之前为令牌调用身份验证服务器？ 谢谢你

我的配置类

@Configuration
@EnableOAuth2Client
public class OAuth2ClientConfig 

    @Autowired
    ConfigProperties configProperties;

    @Bean("oauth2AuthServer")
    public OAuth2RestOperations restTemplate(OAuth2ClientContext oauth2ClientContext) 
        OAuth2RestTemplate oAuth2RestTemplate = new OAuth2RestTemplate(resource(), oauth2ClientContext);
        oAuth2RestTemplate.setAccessTokenProvider(new CustomResourceOwnerPasswordAccessTokenProvider());
        return oAuth2RestTemplate;
    

    @Bean
    protected OAuth2ProtectedResourceDetails resource() 
        ResourceOwnerPasswordResourceDetails resource = new ResourceOwnerPasswordResourceDetails();
        resource.setId(configProperties.getClientId());
        resource.setAccessTokenUri(configProperties.getAccessTokenUri());
        resource.setClientId(configProperties.getClientId());
        resource.setClientSecret(configProperties.getClientSecret());
        resource.setGrantType(configProperties.getGrantType());
        resource.setClientAuthenticationScheme(AuthenticationScheme.header);
        resource.setAuthenticationScheme(AuthenticationScheme.header); // 
        resource.setUsername(configProperties.getUsername());
        resource.setPassword(configProperties.getPassword());
        return resource;
    

我的 serviceImpl 方法是

@Autowired
    @Qualifier("oauth2AuthServer")
    private OAuth2RestOperations oauth2RestOperations;

RequestResponse callResourceServer(ResourceRequest request) 
        try 
            RequestResponse response;
            HttpHeaders headers = new HttpHeaders();
            headers.setContentType(MediaType.APPLICATION_JSON); 
            HttpEntity<ReseourceRequest> entity = new HttpEntity<>(request, headers);
            response = this.oauth2RestOperations.postForObject(
                    microServiceConfig.getUrl(), 
                    entity, 
                   RequestResponse.class
            );
            return response;
         catch (Exception ex) 
            log.error(ex);
            throw new exception("error");
        
    

【问题讨论】：

你检查过***.com/questions/27864295/… 吗？也许您显示使用 DefaultOAuth2ClientContext

配置 OAuth2RestOperations

谢谢@RobertoPetrilli 它通过使用DefaultOauth2ClientContext 工作

【参考方案1】：

我看到 BaseOAuth2ProtectedResourceDetails 和 Oauth2RestTemplate 已弃用，我们还能使用它们吗？或者我们应该迁移到 5.x 选项

【讨论】：

Spring Security 5.x 的 OAuth 2.0 Client 特性不支持 RestTemplate，只支持 WebClient。 WebClient 提供了 RestTemplate 的替代方案，有效支持同步和异步以及流场景。 RestTemplate 将在未来的版本中被弃用，并且不会增加主要的新功能。

同意，我是从最新文档中看到的，只是想确认一下，我在上面的示例用法中看到了 OAuth2ProtectedResourceDetails（已弃用）。感谢您的澄清。