当前位置: 首页 > 面试题库 >

用于2足(客户端凭据)OAuth2服务器的Spring-security上下文设置

洪研
2023-03-14
问题内容

如果我想为一个客户端保护REST服务器,春季安全OAuth2的最低设置是什么?我不想使用任何不必要的设置或实现任何不必要的bean。也许对于spring-
security + OAuth2已经有一个“简单”的教程/示例了?(尽管我试图避免对此抱太大希望)

我当前的工作设置(从sparklr上下文中使用copy + past + wtf)感觉太过:

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:oauth="http://www.springframework.org/schema/security/oauth2"
       xmlns:sec="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/security/oauth2
                           http://www.springframework.org/schema/security/spring-security-oauth2-1.0.xsd
                           http://www.springframework.org/schema/security
                           http://www.springframework.org/schema/security/spring-security-3.1.xsd
                           http://www.springframework.org/schema/beans
                           http://www.springframework.org/schema/beans/spring-beans-3.1.xsd">

    <oauth:authorization-server client-details-service-ref="clientDetails" token-services-ref="tokenServices">
        <oauth:client-credentials />
    </oauth:authorization-server>

    <sec:authentication-manager alias="clientAuthenticationManager">
        <sec:authentication-provider user-service-ref="clientDetailsUserService" />
    </sec:authentication-manager>

    <http pattern="/oauth/token" create-session="stateless"
            authentication-manager-ref="clientAuthenticationManager"
            xmlns="http://www.springframework.org/schema/security">
        <intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" />
        <anonymous enabled="false" />
        <http-basic entry-point-ref="clientAuthenticationEntryPoint" />

        <!-- include this only if you need to authenticate clients via request parameters -->
        <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
        <access-denied-handler ref="oauthAccessDeniedHandler" />
    </http>

    <oauth:resource-server id="resourceServerFilter"
            resource-id="rest_server" token-services-ref="tokenServices" />

    <oauth:client-details-service id="clientDetails">
        <oauth:client client-id="the_client" authorized-grant-types="client_credentials" 
                authorities="ROLE_RESTREAD" secret="1234567890" />
    </oauth:client-details-service>


    <http pattern="/**" create-session="never"
            entry-point-ref="oauthAuthenticationEntryPoint"
            access-decision-manager-ref="accessDecisionManager"
            xmlns="http://www.springframework.org/schema/security">
        <anonymous enabled="false" />

        <intercept-url pattern="/rest/**" access="ROLE_RESTREAD" method="GET" />
        <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
        <access-denied-handler ref="oauthAccessDeniedHandler" />
    </http>

    <bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.InMemoryTokenStore" />

    <bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
        <property name="tokenStore" ref="tokenStore" />
        <property name="supportRefreshToken" value="false" />
        <property name="clientDetailsService" ref="clientDetails" />
        <property name="accessTokenValiditySeconds" value="400000" />
        <property name="refreshTokenValiditySeconds" value="0" />
    </bean>

    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased"
            xmlns="http://www.springframework.org/schema/beans">
        <constructor-arg>
            <list>
                <bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />
                <bean class="org.springframework.security.access.vote.RoleVoter" />
                <bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
            </list>
        </constructor-arg>
    </bean>


    <bean id="oauthAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
        <property name="realmName" value="theRealm" />
    </bean>

    <bean id="clientAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
        <property name="realmName" value="theRealm/client" />
        <property name="typeName" value="Basic" />
    </bean>

    <bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
        <property name="authenticationManager" ref="clientAuthenticationManager" />
    </bean>


    <bean id="clientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
        <constructor-arg ref="clientDetails" />
    </bean>

    <bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />


    <sec:global-method-security pre-post-annotations="enabled" proxy-target-class="true">
        <sec:expression-handler ref="oauthExpressionHandler" />
    </sec:global-method-security>

    <oauth:expression-handler id="oauthExpressionHandler" />

    <oauth:web-expression-handler id="oauthWebExpressionHandler" />
</beans>

我已经实现了authenticationManager(UserDetailsS​​ervice)作为实现基本spring-
security的一部分,以便帐户和角色可以持久保存在我们的数据库中。

我没有真正得到的豆是:

userApprovalHandler
:为什么在client_credentials流/授予中需要任何用户批​​准?似乎,sparklr会覆盖默认值TokenServicesUserApprovalHandler以自动批准一个客户端。在受信任的客户端和服务器之间进行通信时,我也需要这样做吗?

oauthAuthenticationEntryPoint :sparklr对此所做的所有操作是:

<bean id="oauthAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
    <property name="realmName" value="sparklr2" />
</bean>

那应该怎么办?

clientCredentialsTokenEndpointFilter
它说,仅当我想通过请求参数进行身份验证时,才应包括此请求。因此,我要牢记的是:将GET(?)请求与机密一起发送到我的服务器,并获得令牌和该令牌访问资源?所以我在想,对令牌的请求应该包含秘密作为请求参数..?

resourceServerFilter 在我看来,这表示一个单独的资源服务器?如果我的资源与身份验证提供程序位于同一服务器上,该如何应用?

accessDecisionManager 我不记得设置我的自定义spring-security实现时必须使用它,为什么现在要这样做?

感谢您的通读!希望有人可以回答我的几个问题。

更新资料

我已将设置更新为当前的工作状态。现在,我可以使用客户端凭据请求访问令牌:

$ curl -X -v -d 'client_id=the_client&client_secret=secret&grant_type=client_credentials' -X POST "http://localhost:9090/our-server/oauth/token"

并使用该令牌访问受保护的资源:

$ curl -H "Authorization: Bearer fdashuds-5432fsd5-sdt5s5d-sd5" "http://localhost:9090/our-server/rest/social/content/posts"

感觉仍然很繁琐,我的问题仍然存在。我也想知道这是否是确保受信任的客户端与REST服务器之间的通信安全的正确方法。

除非通过https完成,否则仍然感觉对令牌的初始请求并不安全,但这足够吗?

还有令牌本身,我应该给它一个较长的生命周期并在客户端上持久化吗?在任何情况下,这都意味着捕获令牌到期异常,然后请求一个新的令牌异常。还是应该为每个请求进行握手?刷新令牌呢?我想我在某处读到刷新令牌对于客户端凭据授予类型不安全。是否有必要将令牌作为HTTP标头发送,还是可以更改?我不想为我们的客户端使用spring-
security客户端堆栈,因为它具有相当旧的设置(jboss 5),到目前为止,我们所做的只是将REST通信功能与请求参数集成在一起。

进一步了解所有spring-security设置也将有所帮助,但是文档非常薄。

编辑

将spring安全配置更新为我们的当前状态。另外,这是我们的web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
        xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
        id="WebApp_ID" version="2.5">

    <display-name>the-display-name</display-name>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring-context.xml</param-value>
    </context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <listener>
        <listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
    </listener>

    <servlet>
        <servlet-name>jersey-serlvet</servlet-name>     
        <servlet-class>
            com.sun.jersey.spi.spring.container.servlet.SpringServlet
        </servlet-class>        
        <init-param>
            <param-name>com.sun.jersey.config.property.packages</param-name>
            <param-value>base.package.rest</param-value>
        </init-param>               
        <load-on-startup>1</load-on-startup>
    </servlet>

    <servlet-mapping>
        <servlet-name>jersey-serlvet</servlet-name>
        <url-pattern>/rest/*</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>appServlet</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>
            /WEB-INF/servlet-context.xml            
            </param-value>
        </init-param>
        <load-on-startup>2</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>appServlet</servlet-name>
        <url-pattern>/*</url-pattern>
    </servlet-mapping>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>contextAttribute</param-name>
            <param-value>org.springframework.web.servlet.FrameworkServlet.CONTEXT.appServlet</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

</web-app>

注意:上面的spring-security-context.xml将由servlet-context初始化。spring-
context.xml本身仅初始化bean。(另外:我们的服务器也有一些视图,因此所有其余资源都在/ rest下运行,因此在url-
pattern下运行。但是:始终有必要使用单独的servlet和spring上下文。)


问题答案:

userApprovalHandler :如果您的系统中只有一个客户端,则我同意用户不必批准该客户端访问其数据。

oauthAuthenticationEntryPoint
:通常,如果身份验证失败,则响应类型为JSON。文档说:“如果身份验证失败,并且呼叫者请求了特定的内容类型响应,则此入口点可以发送一个消息以及标准的401状态。”

clientCredentialsTokenEndpointFilter
:发出访问令牌是一个两步过程。首先,将用户发送到资源服务器进行身份验证。客户端最好使用HTTP标头(密钥+机密)对重定向进行身份验证。作为回报,客户端获得一个代码,可以将其交换为令牌。您不直接将密钥+秘密交易为令牌,因为它不包含来自用户的批准。

resourceServerFilter :如果您有许多不同的资源,我 认为这样做 的目的是指示哪些客户端可以访问哪些资源。

accessDecisionManager :对于OAuth2,您需要一个ScopeVoter,因此默认的Manager不够好。

通常
:如果您只有一个客户端代表用户访问资源,那么也许考虑使用Digest而不是OAuth2?而且,如果您只想验证客户端(而不是用户),则OAuth2会显得过高。OAuth2中的客户端身份验证实际上与基于https的基本身份验证相同。



 类似资料:
  • 顺便说一句,这些微服务只会通过中间件层互相交谈,我的意思是不需要用户凭据来允许授权(用户登录过程如Facebook)。 我在Internet上寻找了一些示例,展示了如何创建一个授权和资源服务器来管理这种通信。然而,我只是找到了一些例子,解释了如何使用用户凭据(三条腿)来实现它。 有没有人有在Spring Boot和Oauth2中如何做的样例?如果有可能提供更多关于所用范围的详细信息,令牌交换将不胜

  • 但是当我运行我的应用程序“http://localhost/client-sample/product/1”时,它会显示“http://localhost/client-sample/spring_security_login”。但是我希望用户应该重定向到oaut2服务器页面。

  • 我有一个相当基本的Spring Boot设置,我已经安装了Spring Security,我已经成功地设置了OAuth2来保护我的API。 几天前,我遇到了一些麻烦,问(并回答)了一个关于达到endpoint的问题。我很快发现问题在于,我试图在请求的正文中发送客户机凭据,但令牌endpoint在Spring Security中被配置为通过HTTP Basic Auth接受客户机凭据(和)。 我使用

  • 嗨,我有一个用于OAuth2的spring配置xml文件。我对它进行了这样的配置,即需要参数和效果curl来请求令牌。它会发出以下请求: curl-x post-v http://localhost:8080/oauth/token-d“grant_type=password&client_id=test&client_secret=test&username=user1&password=pas

  • 我很难找到使用Spring实现OAuth2客户机的示例。 我使用Spring实现了OAuth2授权和资源服务器。我想从授权服务器获取访问令牌。我需要一个示例,如何从我的OAuth2服务器只使用客户端凭据获取访问令牌。不涉及用户,只是我的客户端应用程序使用客户端凭据获取访问令牌,然后使用它访问客户端资源。 我只找到了使用Java库示例,但我假设Spring的OAuth2框架中支持Java库。 如果可

  • 我可以使用,其中一个keycloak客户机与另一个keycloak客户机通信。然而,只有当我登录到第一个keycloak客户机时,它才起作用,即它向keycloak服务器发送客户机ID、客户机机密、用户名和密码。如果我没有在第一个客户机上使用用户和密码进行身份验证,我会得到“无法设置授权头,因为没有身份验证原则”。但是我已经将keycloak配置为对第一个客户机使用服务帐户(客户机凭据授权),因此