在不使用基本身份验证的情况下撤销 Oauth2 令牌

Posted 2023-02-27

【中文标题】在不使用基本身份验证的情况下撤销 Oauth2 令牌

【英文标题】：Revoke Oauth2 token without using Basic Auth

【发布时间】：2020-11-16 02:24:52

【问题描述】：

我正在尝试使用 Spring cloud OAuth2 实现书中 OAuth-2.0-Cookbook 中的示例。

我设法实现了他的功能，但不幸的是我遇到了一个问题：为了成功调用，我必须提供基本的身份验证凭据（Authorization: Basic YWRtaW46cXdlcnR5）：

@PostMapping("/oauth/revoke")
public ResponseEntity<String> revoke(@RequestParam Map<String, String> params) 
    RevocationService revocationService = revocationServiceFactory
            .create(params.get("token_type_hint"));

    revocationService.revoke(params.get("token"));

    return ResponseEntity.ok().build();

Github source

我喜欢在发出 POST 请求以撤销令牌时进行某种身份验证的想法，但我认为 Angular SPA 应用程序不应该一直保存用户名和密码才能成功调用 @ 987654327@.

一般来说，谷歌上的解决方案只有一个只接受令牌的端点。对于那种情况，我不知道哪种解决方案是合适的。

如何将基本身份验证功能删除到 Spring Cloud OAuth2 中？我使用这个安全配置：

http
            .csrf()
            .disable()
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            // Configure token authentication permissions
            .requestMatchers().antMatchers(HttpMethod.POST,"/oauth/token")
                .and()
            // Configure token revoke permissions
            .requestMatchers().antMatchers(HttpMethod.POST,"/oauth/revoke")
                .and()
            .httpBasic()
                .and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

Github source:

【问题讨论】：

看看***.com/questions/62955162/…

【参考方案1】：

您可以像这样禁用撤销端点的身份验证

http
...
.authorizeRequests()
.antMatchers("/oauth/revoke").permitAll()
...

【讨论】：

我试过这个：pastebin.com/z3691x1Ebut我得到`工厂方法'springSecurityFilterChain'抛出异常；嵌套异常是 java.lang.IllegalStateException: Can't configure antMatchers after anyRequest`