Spring Boot + Spring OAuth Java 配置
Posted
技术标签:
【中文标题】Spring Boot + Spring OAuth Java 配置【英文标题】:Spring Boot + Spring OAuth Java configuration 【发布时间】:2015-05-14 02:40:57 【问题描述】:我试图在一个简单的 Spring Boot + Spring OAuth 应用程序上获得 OAuth 1(3 条腿),仅作为消费者。
我一直在尝试将 tonr 示例移植到 spring-security-oauth 存储库 (https://github.com/spring-projects/spring-security-oauth) 以使用 Java 配置而不是 XML。
但是,我得到:
java.lang.NullPointerException: null
at org.springframework.security.oauth.consumer.filter.OAuthConsumerProcessingFilter.doFilter(OAuthConsumerProcessingFilter.java:87)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:239)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
at org.springframework.boot.actuate.trace.WebRequestTraceFilter.doFilterInternal(WebRequestTraceFilter.java:102)
at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:239)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)
at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:239)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
at org.springframework.boot.actuate.autoconfigure.MetricFilterAutoConfiguration$MetricsFilter.doFilterInternal(MetricFilterAutoConfiguration.java:90)
at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:239)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:219)
at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:106)
at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:501)
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:142)
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:516)
at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1086)
at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:659)
at org.apache.coyote.http11.Http11NioProtocol$Http11ConnectionHandler.process(Http11NioProtocol.java:223)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1558)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1515)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
...可能是因为没有正确设置 OAuthConsumerContextFilter。
我尝试如下配置<oauth:consumer> 部分:
@Bean
public OAuthConsumerProcessingFilter oAuthConsumerProcessingFilter()
OAuthConsumerProcessingFilter result = new OAuthConsumerProcessingFilter();
result.setProtectedResourceDetailsService(protectedResourceDetailsService());
final LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> map = new LinkedHashMap<>();
map.put(new RegexRequestMatcher("/sparklr/*", null), Collections.singletonList(ConsumerSecurityConfig.PERMIT_ALL_ATTRIBUTE));
result.setObjectDefinitionSource(new DefaultFilterInvocationSecurityMetadataSource(map));
return result;
@Bean
public ProtectedResourceDetailsService protectedResourceDetailsService()
return (String id) ->
switch (id)
case "sparklrPhotos":
sparklrProtectedResourceDetails();
break;
throw new RuntimeException("Error");
;
@Bean
public OAuthConsumerContextFilter oAuthConsumerContextFilter()
final CoreOAuthConsumerSupport consumerSupport = new CoreOAuthConsumerSupport();
consumerSupport.setProtectedResourceDetailsService(protectedResourceDetailsService());
final OAuthConsumerContextFilter filter = new OAuthConsumerContextFilter();
filter.setConsumerSupport(consumerSupport);
return filter;
...但显然缺少一些东西。我什至删除了switch 并一直返回相同的受保护资源详细信息,但这并没有改变我没有上下文的事实。
我应该怎么做才能完成这项工作?如果我需要显示我的代码的任何其他部分,请告诉我。
更新:我添加了消费者上下文过滤器,但我认为它没有被应用,因为我得到了同样的错误
【问题讨论】:
你的OAuthConsumerContextFilter在哪里?我从未见过使用 JavaConfig 完成此操作,因此您正在逆流而上,但基本的消费者用例很简单,我想它应该可以解决。
XML 配置中没有,所以最初我没有添加,但即使我添加了一个,它也没有被调用。我会用它更新我的问题
您可以发布将 OAuthConsumerContextFilter 添加到过滤器的代码吗?
我没有在任何地方明确添加过滤器,我期待 Spring 以某种方式添加它,就像 OAuthConsumerProcessingFilter 正在被拾取。此外,XML 配置没有指定它,所以我想知道为什么我必须使用 Java 配置,如果这是问题...
如果您使用 Java Config 查看 OAuth2,它们会显式添加过滤器
【参考方案1】:
为了将 Spring Security 与 Java Config 一起使用,您必须拥有 SecurityConfig 文件,其中包含类似这样的内容(取自 http://projects.spring.io/spring-security-oauth/docs/oauth2.html)
@Override
protected void configure(HttpSecurity http) throws Exception
http
.authorizeRequests().antMatchers("/login").permitAll().and()
// default protection for all resources (including /oauth/authorize)
.authorizeRequests()
.anyRequest().hasRole("USER")
// ... more configuration, e.g. for form login
这也是您可以使用http.addFilterAfter(oAuthConsumerContextFilter(), AnonymousAuthenticationFilter.class);按特定顺序添加过滤器的地方
您的代码的问题是您的过滤器是在创建身份验证之前执行的。
所以我猜你的两个过滤器至少应该在 AnonymousAuthenticationFilter.class 之后
您可以在此处找到过滤器列表:http://docs.spring.io/spring-security/site/docs/3.1.x/reference/springsecurity-single.html#filter-stack
这对我有用:
http
.addFilterAfter(oAuthConsumerContextFilter(), SwitchUserFilter.class)
.addFilterAfter(oAuthConsumerProcessingFilter(), OAuthConsumerContextFilter.class)
【讨论】:
就是这样,非常感谢!我看到了addFilterAfter 和addFilterBefore,但没想到我必须手动添加所有内容,看到XML 配置甚至没有定义上下文过滤器。无论如何,再次感谢!【参考方案2】:
我发现这个问题和其他答案中的几个部分代码不完整,整体来看由于各种原因无法正常工作。这是我找到的使用 Java 配置让 Spring Security OAuth 1 与 Spring Boot 一起使用的完整解决方案。
你需要一个像这样的配置类:
@Configuration
@EnableWebSecurity
public class OAuthConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http.addFilterAfter(
this.oauthConsumerContextFilter(),
SwitchUserFilter.class
);
http.addFilterAfter(
this.oauthConsumerProcessingFilter(),
OAuthConsumerContextFilter.class
);
// IMPORTANT: this must not be a Bean
OAuthConsumerContextFilter oauthConsumerContextFilter()
OAuthConsumerContextFilter filter = new OAuthConsumerContextFilter();
filter.setConsumerSupport(this.consumerSupport());
return filter;
// IMPORTANT: this must not be a Bean
OAuthConsumerProcessingFilter oauthConsumerProcessingFilter()
OAuthConsumerProcessingFilter filter = new OAuthConsumerProcessingFilter();
filter.setProtectedResourceDetailsService(this.prds());
LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> map =
new LinkedHashMap<>();
// one entry per oauth:url element in xml
map.put(
// 1st arg is equivalent of url:pattern in xml
// 2nd arg is equivalent of url:httpMethod in xml
new AntPathRequestMatcher("/oauth/**", null),
// arg is equivalent of url:resources in xml
// IMPORTANT: this must match the ids in prds() and prd() below
Collections.singletonList(new SecurityConfig("myResource"))
);
filter.setObjectDefinitionSource(
new DefaultFilterInvocationSecurityMetadataSource(map)
);
return filter;
@Bean // optional, I re-use it elsewhere, hence the Bean
OAuthConsumerSupport consumerSupport()
CoreOAuthConsumerSupport consumerSupport = new CoreOAuthConsumerSupport();
consumerSupport.setProtectedResourceDetailsService(prds());
return consumerSupport;
@Bean // optional, I re-use it elsewhere, hence the Bean
ProtectedResourceDetailsService prds()
return (String id) ->
switch (id)
// this must match the id in prd() below
case "myResource":
return prd();
throw new RuntimeException("Invalid id: " + id);
;
ProtectedResourceDetails prd()
BaseProtectedResourceDetails details = new BaseProtectedResourceDetails();
// this must be present and match the id in prds() and prd() above
details.setId("myResource");
details.setConsumerKey("OAuth_Key");
details.setSharedSecret("OAuth_Secret");
details.setRequestTokenURL("...");
details.setUserAuthorizationURL("...");
details.setAccessTokenURL("...");
// any other service-specific settings
return details;
了解一些关键点,这样你就可以避免我遇到的问题:
首先,原始问题使用ConsumerSecurityConfig.PERMIT_ALL_ATTRIBUTE 配置处理过滤器,但这不起作用。映射中的值必须是包含资源 ID 的 SecurityConfig,该资源是这些路径的 OAuth 所有者。
此 id 还必须与 ProtectedResourceDetailsService 和 ProtectedResourceDetails 中的 id 匹配,并且这两个 id 都必须存在。尽管它们有些多余,但在 ProtectedResourceDetails 中省略 id 会破坏设置。
其次,原始问题将两个过滤器都配置为 Bean。但是,Spring Boot 会自动在 main 应用程序过滤器链中注册任何实现过滤器的 Bean,在这种情况下,这将导致它们运行两次并且每次都使 OAuth 访问令牌进程失败,因为它看起来像重放攻击.这个问题的更多细节:Oauth 1.0a consumer code equesting an access token twice
有两种方法可以解决此问题。我使用了上面较短的那个(只是不要让它们成为 Bean),但您也可以创建一个 FilterRegistrationBean 来禁用自动注册行为。
通过这些更正,上面的代码经过测试并确认支持在 Spring Boot 容器中使用纯 Java 配置进行有效的 OAuth 1 协商。
参考资料:
Spring OAuth 1 文档有助于理解所涉及的类及其用途:https://projects.spring.io/spring-security-oauth/docs/oauth1.html
Bean 定义解析器是将 XML 转换为 Java 的规范实现,因此对于我未提及的任何边缘情况,请参阅此:https://github.com/codehaus/spring-security-oauth/blob/master/spring-security-oauth/src/main/java/org/springframework/security/oauth/config/OAuthConsumerBeanDefinitionParser.java
【讨论】:
以上是关于Spring Boot + Spring OAuth Java 配置的主要内容,如果未能解决你的问题,请参考以下文章
Spring Boot + OAuth2.0 实现微信扫码登录,这才叫优雅!!
Spring Security - 用于多租户应用程序的 OAuth、LDAP 集成