带有Spring Boot REST应用程序的OAuth2-无法使用令牌访问资源
我想将OAuth2用于我的RESTSpring启动项目。使用一些示例,我为OAuth2创建了配置:
@Configuration
public class OAuth2Configuration {
private static final String RESOURCE_ID = "restservice";
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration extends
ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
// @formatter:off
resources
.resourceId(RESOURCE_ID);
// @formatter:on
}
@Override
public void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
.anonymous().disable()
.authorizeRequests().anyRequest().authenticated();
// @formatter:on
}
}
@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends
AuthorizationServerConfigurerAdapter {
private TokenStore tokenStore = new InMemoryTokenStore();
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints)
throws Exception {
// @formatter:off
endpoints
.tokenStore(this.tokenStore)
.authenticationManager(this.authenticationManager)
.userDetailsService(userDetailsService);
// @formatter:on
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
// @formatter:off
clients
.inMemory()
.withClient("clientapp")
.authorizedGrantTypes("password", "refresh_token", "trust")
.authorities("USER")
.scopes("read", "write")
.resourceIds(RESOURCE_ID)
.secret("clientsecret")
.accessTokenValiditySeconds(1200)
.refreshTokenValiditySeconds(3600);
// @formatter:on
}
@Bean
@Primary
public DefaultTokenServices tokenServices() {
DefaultTokenServices tokenServices = new DefaultTokenServices();
tokenServices.setSupportRefreshToken(true);
tokenServices.setTokenStore(this.tokenStore);
return tokenServices;
}
}
}
这是我的SecurityConfiguration类:
@Configuration
@EnableWebSecurity
@Order(1)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http
.authorizeRequests().antMatchers("/api/register").permitAll()
.and()
.authorizeRequests().antMatchers("/api/free").permitAll()
.and()
.authorizeRequests().antMatchers("/oauth/token").permitAll()
.and()
.authorizeRequests().antMatchers("/api/secured").hasRole("USER")
.and()
.authorizeRequests().anyRequest().authenticated();
}
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
我尝试用两个简单的请求来检查我的应用程序:
@RequestMapping(value = "/api/secured", method = RequestMethod.GET)
public String checkSecured(){
return "Authorization is ok";
}
@RequestMapping(value = "/api/free", method = RequestMethod.GET)
public String checkFree(){
return "Free from authorization";
}
首先,我检查了两个请求:
/api/secured返回{"timestamp":1487451065106," status":403," error":"Forbidden "," message":"Access Denied "," path":"/api/secured"}
看起来他们工作的很好。
然后我得到了access_token(使用来自我的用户数据库的凭据)
/oauth/token?grant_type=password
答复:
{“access_token”:“3344669f-c66c-4161-9516-d7e2f31a32e8”,“token_type”:“Bear”,“refresh_Town”:“c71c17e4-45ba-458c-9d98-574de33d1859”,“expires_in”:1199,“scope”:“读写”}
然后我尝试发送一个需要身份验证的资源请求(使用我得到的令牌):
/api/secured?access_token=3344669f-c66c-4161-9516-d7e2f31a32e8
以下是回应:
{“时间戳”:1487451630224,“状态”:403,“错误”:“禁止”,“消息”:“拒绝访问”,“路径”:“/api/安全”}
我不明白为什么拒绝进入。我不确定配置,似乎它们是不正确的。此外,我仍然不清楚扩展WebSecurityConfigurerAdapter的类和扩展ResourceServerConfigurerAdapter的类中的方法配置(HttpSecurity http)之间的关系。感谢任何帮助!
共有1个答案
如果您使用的是spring boot 1.5.1或最近更新的版本,请注意他们更改了spring security oauth 2(Spring Boot 1.5发行说明)的过滤器顺序。
根据发行说明,尝试将以下属性添加到application.properties/yml,这样做后,资源服务器过滤器将在您的其他过滤器之后用作后备-这应该会导致在落到资源服务器之前接受授权:
security.oauth2.resource.filter-order = 3
您可以在这里找到其他问题的好答案:https://stackoverflow.com/questions/28537181
-
我试图用Spring的授权授予流来保护我的REST Api。 我正试图使用这个auth访问/api/user,它来自用户登录后的auth服务器令牌请求... 怎么了?
-
当且仅当用户在发出OAuth2请求时登录到LinkedIn时,它才起作用。 如果用户未登录,则会遇到错误。 我们的行动顺序: 成功获取新的访问令牌 使用访问令牌,发布到apiendpoint 之后,我们将收到一份401,内容如下: 有时,经过一段时间后,使用相同的访问令牌重试会得到200。有时不会。 如果用户在“401期间”登录LinkedIn,那么之前获取的访问令牌就会神奇地开始工作。 我不知道
-
我得到的令牌是: http://localhost:8080/servicesmem/oauth/token?username=myuser&password=mypassword&grant_type=password&scope=read,write,trust 我得到: 我得到: 我使用头:Authorization Bearer ACCESS_TOKEN,但我得到了同样的错误。我错过了什么
-
我试图创建spring rest服务,它是由我自己的oauth2资源服务器自动引诱的。我创建了资源服务器: {“error”:“server_error”,“error_description”:“java.io.NotSerializableException:org.springframework.security.crypto.bcrypt.bcryptPasswordenCoder”} 在
-
目前访问类型处于联机状态。当我需要访问驱动器上的文件/文件夹时,我将浏览器重定向到Google URL并获得访问代码: 一切运转良好!但我只需要第一次重定向。 当我谷歌时,在google Drive API文档中,我发现我可以通过浏览器重定向获得刷新令牌,并将其保存在数据库中。(换句话说,我可以使用脱机访问)。 而且每次当我需要从google drive读取数据时,我使用刷新令牌获得访问令牌,而无
-
我想使用上传一个pdf文件到Google Drive,用于自动测试目的。 我已经在Google云平台上创建了一个帐户(获得了客户端ID和机密),并启用了Google Drive API。 谢了。