带有 Spring Boot REST 应用程序的 OAuth2 - 无法使用令牌访问资源

Posted 2023-02-27

【中文标题】带有 Spring Boot REST 应用程序的 OAuth2 - 无法使用令牌访问资源

【英文标题】：OAuth2 with Spring Boot REST application - cannot access resource with token

【发布时间】：2017-07-08 07:51:03

【问题描述】：

我想为我的 REST spring boot 项目使用 OAuth2。使用一些示例，我为 OAuth2 创建了配置：

@Configuration
public class OAuth2Configuration 

    private static final String RESOURCE_ID = "restservice";

    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends
          ResourceServerConfigurerAdapter 

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) 
            // @formatter:off
            resources
                    .resourceId(RESOURCE_ID);
            // @formatter:on
        

        @Override
        public void configure(HttpSecurity http) throws Exception 
            // @formatter:off
            http
                    .anonymous().disable()
                    .authorizeRequests().anyRequest().authenticated();
            // @formatter:on
        

    

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthorizationServerConfiguration extends
             AuthorizationServerConfigurerAdapter 

        private TokenStore tokenStore = new InMemoryTokenStore();

        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;

        @Autowired
        private UserDetailsServiceImpl userDetailsService;

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints)
            throws Exception 
          // @formatter:off
          endpoints
                  .tokenStore(this.tokenStore)
                  .authenticationManager(this.authenticationManager)
                  .userDetailsService(userDetailsService);
          // @formatter:on
        

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception 
            // @formatter:off
            clients
                  .inMemory()
                  .withClient("clientapp")
                  .authorizedGrantTypes("password", "refresh_token", "trust")
                  .authorities("USER")
                  .scopes("read", "write")
                  .resourceIds(RESOURCE_ID)
                  .secret("clientsecret")
                  .accessTokenValiditySeconds(1200)
                  .refreshTokenValiditySeconds(3600);
            // @formatter:on
        

        @Bean
        @Primary
        public DefaultTokenServices tokenServices() 
            DefaultTokenServices tokenServices = new DefaultTokenServices();
            tokenServices.setSupportRefreshToken(true);
            tokenServices.setTokenStore(this.tokenStore);
            return tokenServices;
        
    

这是我的 SecurityConfiguration 类：

@Configuration
@EnableWebSecurity
@Order(1)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter 

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        http.csrf().disable();
        http
                .authorizeRequests().antMatchers("/api/register").permitAll()
                .and()
                .authorizeRequests().antMatchers("/api/free").permitAll()
                .and()
                .authorizeRequests().antMatchers("/oauth/token").permitAll()
                .and()
                .authorizeRequests().antMatchers("/api/secured").hasRole("USER")
                .and()
                .authorizeRequests().anyRequest().authenticated();
    

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception 
        return super.authenticationManagerBean();
    

    @Bean
    public PasswordEncoder passwordEncoder() 
        return new BCryptPasswordEncoder();
    

我尝试通过 2 个简单的请求检查我的应用程序：

@RequestMapping(value = "/api/secured", method = RequestMethod.GET)
public String checkSecured()
    return "Authorization is ok";


@RequestMapping(value = "/api/free", method = RequestMethod.GET)
public String checkFree()
    return "Free from authorization";

首先我检查了两个请求：

/api/free 返回代码 200 和字符串“免于授权”

/api/secured 返回 "timestamp":1487451065106,"status":403,"error":"Forbidden","message":"Access Denied","path":" /api/secured"

而且它们似乎工作正常。

然后我得到了 access_token（使用我的用户数据库中的凭据）

/oauth/token?grant_type=password&username=emaila&password=emailo

回复：

"access_token":"3344669f-c66c-4161-9516-d7e2f31a32e8","token_type":"bearer","re​​fresh_token":"c71c17e4-45ba-458c-9d98-574de33d1859","expires_in":1199, "范围":"读写"

然后我尝试向需要身份验证的资源发送请求（使用我得到的令牌）：

/api/secured?access_token=3344669f-c66c-4161-9516-d7e2f31a32e8

回复如下：

"timestamp":1487451630224,"status":403,"error":"Forbidden","message":"Access Denied","path":"/api/secured"

我不明白为什么访问被拒绝。我不确定配置，似乎它们不正确。此外，我仍然不清楚扩展 WebSecurityConfigurerAdapter 的类中的方法 configure(HttpSecurity http) 和扩展 ResourceServerConfigurerAdapter 的方法之间的关系。 感谢您的帮助！

【问题讨论】：

当您将 Token 作为 Header Authorization: Bearer [TOKEN] 发送时会发生什么？

@dav1d 我试过了，但访问仍然被拒绝

您的问题很有帮助，但是我只有在从您的安全类中删除“@Order(1)”后才能使用它。如果您提供完整代码或 Github 链接，将会非常有益。

@SamwellTarly 抱歉回复晚了，这里是链接：github.com/ahea/SocNetworkSpringApp

【参考方案1】：

如果您使用的是 spring boot 1.5.1 或最近更新到它，请注意他们更改了 spring security oauth2 (Spring Boot 1.5 Release Notes) 的过滤顺序。

根据发行说明，尝试将以下属性添加到 application.properties/yml，之后资源服务器过滤器将在您的其他过滤器之后使用作为后备 - 这应该会导致授权在下降之前被接受到资源服务器：

security.oauth2.resource.filter-order = 3

您可以在这里找到其他问题的好答案：https://***.com/questions/28537181

【讨论】：

非常感谢您的回答。我添加了这个属性并删除了@Order 注释。现在我可以获得访问令牌，然后使用它，最终获得 /api/secured 资源。但是我现在无法在没有令牌的情况下获得 /api/free。我认为可以通过更改配置方法来解决。

我遇到了类似的问题，当我使用 access_token 请求安全资源时，这似乎完全被忽略了，我被重定向到登录...你知道怎么做吗？我调试它？

您可能正在尝试使用authorization_code 流而不是client_credentials / password 流，在身份验证代码流中，您应该被重定向到登录页面，这样才有意义（oauth.net/2/grant-types/authorization-code )

@Tom 你能看看这个问题吗***.com/questions/53537133/…