Spring Boot 2.0.3 Oauth2 安全性:即使在标头中使用访问令牌时也会出现 401 错误

Posted

技术标签:

【中文标题】Spring Boot 2.0.3 Oauth2 安全性:即使在标头中使用访问令牌时也会出现 401 错误【英文标题】:Spring Boot 2.0.3 Oauth2 Security: Getting 401 error even when using access token in header 【发布时间】:2019-01-20 05:26:13 【问题描述】:

我正在创建一个 spring boot 2.0 应用程序并尝试启用 oauth2 安全性。到目前为止,我在同一个应用程序中有身份验证服务器和资源服务器。我的客户端和用户详细信息以及生成的令牌都保存在数据库(mysql)中,并且数据库模式与 spring 文档提供的相同。当我使用 Postman 在标头中提供 clientId 和 clientSecret 以及在正文中提供用户凭据的“/oauth/token/”端点时,我成功获取了访问令牌。


"access_token": "bef2d974-2e7d-4bf0-849d-d80e8021dc50",
"token_type": "bearer",
"refresh_token": "32ed6252-e7ee-442c-b6f9-d83b0511fcff",
"expires_in": 6345,
"scope": "read write trust"

但是当我尝试使用此访问令牌访问我的 rest api 时,我收到 401 Unauthorized 错误:


"timestamp": "2018-08-13T11:17:19.813+0000",
"status": 401,
"error": "Unauthorized",
"message": "Unauthorized",
"path": "/myapp/api/unsecure"

我打的其余 API 如下:

http://localhost:8080/myapp/api/unsecure

http://localhost:8080/myapp/api/secure

myapp 是我的应用程序的上下文路径。

对于“安全”api,我在请求标头中提供了访问令牌,如 Spring 文档中所述:

Authorization: Bearer bef2d974-2e7d-4bf0-849d-d80e8021dc50

而对于不安全的 api,我尝试过使用和不使用 Authentication 标头。在所有情况下,两个 api 都会出现相同的错误。

此外,当我尝试打印当前经过身份验证的用户时,它会被打印为匿名用户。

我想要的如下:

1) 我希望只有在请求标头中提供访问令牌时才能访问我的安全 API。

2) 我希望未经授权的用户可以访问我的不安全 api。

3) 在访问安全 url 时,我应该使用 SecurityContextHolder 获取当前经过身份验证的用户。

我的 WebSecurityConfigurerAdapter 如下:

@Configuration
@EnableWebSecurity(debug=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter 

@Autowired
private DataSource dataSource;

@Autowired
UserDetailsService userDetailsService;

@Autowired
private ClientDetailsService clientDetailsService;

@Bean
public PasswordEncoder userPasswordEncoder() 
    return new BCryptPasswordEncoder(8);


@Bean
public TokenStore tokenStore() 
    return new JdbcTokenStore(dataSource);


@Autowired
public void configure(AuthenticationManagerBuilder auth) throws 
Exception 
    auth
    .userDetailsService(userDetailsService)
    .passwordEncoder(userPasswordEncoder());


@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws 
Exception 
    return super.authenticationManagerBean();


@Bean
@Autowired
public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore 
tokenStore)
    TokenStoreUserApprovalHandler handler = new 
    TokenStoreUserApprovalHandler();
    handler.setTokenStore(tokenStore);
    handler.setRequestFactory(new 
    DefaultOAuth2RequestFactory(clientDetailsService));
    handler.setClientDetailsService(clientDetailsService);
    return handler;


@Bean
@Autowired
public ApprovalStore approvalStore(TokenStore tokenStore) throws 
Exception 
    TokenApprovalStore store = new TokenApprovalStore();
    store.setTokenStore(tokenStore);
    return store;


@Override
protected void configure(HttpSecurity http) throws Exception 
    http
    .csrf().disable()
    .cors().disable()
    .anonymous().disable()
    .authorizeRequests()
    .antMatchers("/index.html", "/**.js", "/**.css", "/").permitAll()
    .anyRequest().authenticated()
    .and()
    .httpBasic();

在这里使用 antMatchers 我已经允许 Angular 6 应用程序的静态页面,因为我打算在我的真实应用程序中使用这些页面。不,以下行不适用于 Angular 应用程序的静态页面:

.requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()

我的 AuthorizationServerConfigurerAdapter 如下:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends 
AuthorizationServerConfigurerAdapter 

@Autowired
private DataSource dataSource;

@Autowired
UserDetailsService userDetailsService;

@Autowired
PasswordEncoder passwordEncoder;

@Autowired
TokenStore tokenStore;

@Autowired
private UserApprovalHandler userApprovalHandler;

@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;


@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) 
    oauthServer
    .tokenKeyAccess("permitAll()")
    .checkTokenAccess("isAuthenticated()")
    .passwordEncoder(passwordEncoder);


@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception 
    clients.jdbc(dataSource);


@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception 
    endpoints
    .tokenStore(tokenStore)
    .userApprovalHandler(userApprovalHandler)
    .authenticationManager(authenticationManager)
    .userDetailsService(userDetailsService);


我的 ResourceServerConfigurerAdapter 如下:

@Configuration
@EnableResourceServer
public abstract class ResourceServerConfig extends ResourceServerConfigurerAdapter 

private static final String RESOURCE_ID = "resource-server-rest-api";

@Autowired
TokenStore tokenStore;

@Override
public void configure(ResourceServerSecurityConfigurer resources) 
    resources
    .resourceId(RESOURCE_ID)
    .tokenStore(tokenStore);


@Override
public void configure(HttpSecurity http) throws Exception 

    http
    .csrf().disable()
    .cors().disable()
    .anonymous().disable()
    .requestMatchers()
    .antMatchers("/api/**").and()
    .authorizeRequests()
    .antMatchers("/api/secure").authenticated()
    .antMatchers("/api/unsecure").permitAll();


但是当我在 SecurityConfig 中启用匿名访问并将我的不安全 url 声明为 permitAll 时,我就可以访问该 url。

.antMatchers("/api/unsecure", "/index.html", "/**.js", "/**.css", "/").permitAll()

我的Controller类如下:

@RestController
@RequestMapping("/api")
public class DemoController 

@GetMapping("/secure")
public void sayHelloFriend() 
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    System.out.println("Current User: "+authentication.getName());
    System.out.println("Hello Friend");


@GetMapping("/unsecure")
public void sayHelloStranger() 
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    System.out.println("Current User: "+authentication.getName());
    System.out.println("Hello Stranger");


如果需要更多信息,请告诉我。任何帮助将不胜感激。 但请记住,它的 Spring Boot 2.0 而不是 1.5,因为根据我的发现,两者都有一些关键差异。

【问题讨论】:

【参考方案1】:

尝试添加

@Order(SecurityProperties.BASIC_AUTH_ORDER)

对于安全配置?所以链会先检查你的资源服务器的配置。

不确定您的类型是否错误,请从资源服务器中删除摘要。

【讨论】:

感谢@Niuhuru Lang 的帮助。实际上是 ResourceServerConfig 中的抽象关键字弄乱了我的代码。不知道它是怎么到那里的。傻我!! @AdityaKumar 您能否准确提及@Order 在您的代码中的位置

以上是关于Spring Boot 2.0.3 Oauth2 安全性:即使在标头中使用访问令牌时也会出现 401 错误的主要内容,如果未能解决你的问题,请参考以下文章

Spring Boot 2.0.0 + OAuth2

Spring Boot 和 OAuth2 社交登录,无法获取 refreshToken

使用 spring-boot OAuth2 服务器保护的 Spring-boot 应用程序

让 oauth2 与 spring-boot 和 rest 一起工作

Spring Boot Restful WebAPI集成 OAuth2

Spring Boot + Spring Security + Spring OAuth2 + Google 登录