Spring Boot 2.0.3 Oauth2安全性:即使在标头中使用访问令牌,也会出现401错误

时间:2018-08-13 13:02:06

标签: java spring-boot spring-security-oauth2 http-status-code-401

我正在创建一个Spring Boot 2.0应用程序,并尝试启用oauth2安全性。到目前为止,我在同一应用程序中具有身份验证服务器和资源服务器。我的客户端和用户详细信息以及生成的令牌都保存在数据库(mysql)中,并且数据库模式与Spring文档中提供的相同。当我点击'/ oauth / token /'端点时,使用邮递员在标头中提供了clientId和clientSecret,并在正文中提供了用户的凭据,我成功获取了访问令牌。

{
"access_token": "bef2d974-2e7d-4bf0-849d-d80e8021dc50",
"token_type": "bearer",
"refresh_token": "32ed6252-e7ee-442c-b6f9-d83b0511fcff",
"expires_in": 6345,
"scope": "read write trust"
}

但是当我尝试使用此访问令牌访问rest api时,出现401未经授权错误:

{
"timestamp": "2018-08-13T11:17:19.813+0000",
"status": 401,
"error": "Unauthorized",
"message": "Unauthorized",
"path": "/myapp/api/unsecure"
}

我要访问的其余API如下:

http://localhost:8080/myapp/api/unsecure

http://localhost:8080/myapp/api/secure

myapp是我的应用程序的上下文路径。

对于“安全” api,我已经在请求标头中提供了访问令牌,如Spring文档中所述:

Authorization: Bearer bef2d974-2e7d-4bf0-849d-d80e8021dc50

对于不安全的api,我尝试使用和不使用身份验证标头。在所有情况下,两个API都会出现相同的错误。

此外,当我尝试打印当前已通过身份验证的用户时,其将以匿名用户身份打印。

我想要的是:

1)我希望仅当请求标头中提供访问令牌时,才能访问我的安全api。

2)我希望未经授权的用户可以访问不安全的api。

3)访问安全网址时,我应该使用SecurityContextHolder获得当前经过身份验证的用户。

我的WebSecurityConfigurerAdapter如下: 

@Configuration
@EnableWebSecurity(debug=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
private DataSource dataSource;

@Autowired
UserDetailsService userDetailsService;

@Autowired
private ClientDetailsService clientDetailsService;

@Bean
public PasswordEncoder userPasswordEncoder() {
    return new BCryptPasswordEncoder(8);
}

@Bean
public TokenStore tokenStore() {
    return new JdbcTokenStore(dataSource);
}

@Autowired
public void configure(AuthenticationManagerBuilder auth) throws 
Exception {
    auth
    .userDetailsService(userDetailsService)
    .passwordEncoder(userPasswordEncoder());
}

@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws 
Exception {
    return super.authenticationManagerBean();
}

@Bean
@Autowired
public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore 
tokenStore){
    TokenStoreUserApprovalHandler handler = new 
    TokenStoreUserApprovalHandler();
    handler.setTokenStore(tokenStore);
    handler.setRequestFactory(new 
    DefaultOAuth2RequestFactory(clientDetailsService));
    handler.setClientDetailsService(clientDetailsService);
    return handler;
}

@Bean
@Autowired
public ApprovalStore approvalStore(TokenStore tokenStore) throws 
Exception {
    TokenApprovalStore store = new TokenApprovalStore();
    store.setTokenStore(tokenStore);
    return store;
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
    .csrf().disable()
    .cors().disable()
    .anonymous().disable()
    .authorizeRequests()
    .antMatchers("/index.html", "/**.js", "/**.css", "/").permitAll()
    .anyRequest().authenticated()
    .and()
    .httpBasic();
}

在这里使用antMatchers,我已允许Angular 6应用程序的静态页面,因为我打算在实际应用程序中使用它们。不能,以下行不适用于静态的角度应用页面:

.requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()

我的AuthorizationServerConfigurerAdapter如下: 

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends 
AuthorizationServerConfigurerAdapter {

@Autowired
private DataSource dataSource;

@Autowired
UserDetailsService userDetailsService;

@Autowired
PasswordEncoder passwordEncoder;

@Autowired
TokenStore tokenStore;

@Autowired
private UserApprovalHandler userApprovalHandler;

@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;


@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
    oauthServer
    .tokenKeyAccess("permitAll()")
    .checkTokenAccess("isAuthenticated()")
    .passwordEncoder(passwordEncoder);
}

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.jdbc(dataSource);
}

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints
    .tokenStore(tokenStore)
    .userApprovalHandler(userApprovalHandler)
    .authenticationManager(authenticationManager)
    .userDetailsService(userDetailsService);
}
}

我的ResourceServerConfigurerAdapter如下: 

@Configuration
@EnableResourceServer
public abstract class ResourceServerConfig extends ResourceServerConfigurerAdapter {

private static final String RESOURCE_ID = "resource-server-rest-api";

@Autowired
TokenStore tokenStore;

@Override
public void configure(ResourceServerSecurityConfigurer resources) {
    resources
    .resourceId(RESOURCE_ID)
    .tokenStore(tokenStore);
}

@Override
public void configure(HttpSecurity http) throws Exception {

    http
    .csrf().disable()
    .cors().disable()
    .anonymous().disable()
    .requestMatchers()
    .antMatchers("/api/**").and()
    .authorizeRequests()
    .antMatchers("/api/secure").authenticated()
    .antMatchers("/api/unsecure").permitAll();
}
}

但是,当我在SecurityConfig中启用匿名访问并将不安全的URL声明为allowAll时,便可以访问该URL。

.antMatchers("/api/unsecure", "/index.html", "/**.js", "/**.css", "/").permitAll()

我的控制器类如下: 

@RestController
@RequestMapping("/api")
public class DemoController {

@GetMapping("/secure")
public void sayHelloFriend() {
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    System.out.println("Current User: "+authentication.getName());
    System.out.println("Hello Friend");
}

@GetMapping("/unsecure")
public void sayHelloStranger() {
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    System.out.println("Current User: "+authentication.getName());
    System.out.println("Hello Stranger");
}
}

让我知道是否需要更多信息。任何帮助将不胜感激。 但是请记住,它的Spring Boot 2.0不是1.5,因为根据我的发现,两者都有一些关键的区别。

1 个答案:

答案 0 :(得分:0)

尝试添加

@Order(SecurityProperties.BASIC_AUTH_ORDER)

用于securityConfig吗?因此该链将首先检查您的资源服务器的配置。

并且不确定您的类型是否错误,请从资源服务器中删除摘要。

希望这会有所帮助。

相关问题
最新问题