Spring security oAuth 2.0（无效令牌不包含资源ID（oauth2-resource））

Posted 2023-03-10

技术标签:

【中文标题】Spring security oAuth 2.0（无效令牌不包含资源ID（oauth2-resource））【英文标题】：Spring security oAuth 2.0 (Invalid token does not contain resource id (oauth2-resource)) 【发布时间】：2020-04-19 22:34:47 【问题描述】：

我使用spring-boot 和Spring REST 编写了一个简单的REST API 后端。端点将被各种第三方应用程序使用并按预期工作。

现在我想使用 spring security 和 OAUTH 2.0 来保护这些端点。

我计划使用外部OAuth 2.0 授权服务器，这样我的rest-api-backend（spring-boot 应用程序）将充当资源服务器并通过调用外部授权服务器的令牌自省端点来验证访问令牌。

每当客户端应用程序使用授权标头中的访问令牌（使用机器对机器流中的 client_credentials 授权类型从外部 authz 服务器获得的不透明承载令牌）调用我的 api-end-points 时，Spring 总是抛出以下错误：


    "error": "access_denied",
    "error_description": "Invalid token does not contain resource id (oauth2-resource)"

经过一番研究，通过以下方式将调用应用程序的客户端 ID 设置为资源 ID 解决了该问题：

 public void configure(ResourceServerSecurityConfigurer resources) throws Exception 
        resources.tokenServices(tokenService());
         resources.resourceId("5ght-6117-fdc6-8787-9017-20c784a9c03a");
        //  super.configure(resources);

Spring 似乎根据资源 ID 中设置的值验证令牌自省响应中的 aud 声明。

我无法完全理解这一点，为什么 Spring 会这样做？

作为资源服务器，它应该简单地检查访问令牌是否有效，是否具有正确的范围等。

Spring 是否维护了允许客户端的白名单？

在我的例子中，有多个客户端应用程序将访问rest-api-backend，那么如何存储它们的多个客户端 ID？

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.2.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>spring-security-test</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spring-security-test</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.2.2.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

PS：我已经检查了许多其他关于该主题的类似问题，但找不到我在这里提出的问题的答案。

【问题讨论】：

【参考方案1】：

当客户端通过身份提供者进行身份验证时，它可以选择包含资源标识符。在身份提供者上配置客户端时，通常您可以选择要求资源标识符，如果客户端不提供资源标识符，则身份验证将失败，或者可以选择为该客户端指定默认值。

您正在构建一个资源服务器，并且可以为其分配任何标识符，只要它对于身份提供者来说是唯一的。我通常使用我的服务的 URL 作为资源标识符。有时，当我希望在不同的 URL 中使用相同的资源标识符（就像我在开发、QA 和生产环境之间使用的一样）但只有单一身份提供者。

听起来您的身份提供者在未提供受众时正在使用受众，这是一个合理的默认设置，因为在您的情况下，您的资源服务既是受众又是资源。然而，情况并非总是如此。

考虑 Facebook 想要访问您的 Gmail 联系人的情况。在这种情况下，Gmail 是资源，Facebook 是受众。作为身份提供者的谷歌会询问用户是否愿意授予 Facebook 访问他的联系人的权限。如果用户授予访问权限（这只发生一次），Google 将提供一个令牌。否则，认证失败。

范围是一个不同的概念。资源提供者可以决定将资源中的可用数据分成小节；每个小节都有一个名称（或范围）。在上面的示例中，Gmail 可以将联系人的数据分解为姓名、家庭住址、电话号码、电子邮件地址、推特句柄等。当用户授予 Facebook 访问他的联系人列表的权限时，他可以限制 Facebook 仅访问姓名和电子邮件地址从而禁止访问联系人的家庭住址、电话号码和推特信息。由资源提供者（即您的服务）来强制执行此约束。

可以通过在上面的代码中将值设置为 null 来禁用 Spring 对资源标识符的验证。这是我在 Azure Active Directory 是我的身份提供者时使用的。

resources.resourceId(null); // Disabled since Microsoft does not support resource ids.

【讨论】：

我花了整整两天时间来解决这个问题，通过 Azure +1 for resourceId(null)

以上是关于Spring security oAuth 2.0（无效令牌不包含资源ID（oauth2-resource））的主要内容，如果未能解决你的问题，请参考以下文章

spring-security-oauth2.0 SSO大体流程图

Spring Security 5 OAuth 2.0 ResourceServer 如何与 AuthorizationServer 通信？

使用 Spring Security 的 OAuth 2.0 中的 resourceId 是啥意思

Spring security OAuth 2.0 的一个简单解释

如何将 Spring Security OAuth 2.0 客户端存储配置到数据库

Spring Security oAuth 2.0 UAA 自动获取令牌值