需要身份验证才能获取访问令牌（匿名不允许）

Question

我尝试修改现有示例 - Tonr2 and Sparklr2。 我也根据Spring Boot Spring Boot OAuth2查看了本教程。我尝试在Tonr2示例中构建应用程序，但没有首次登录（在tonr2上）。我只需要在Sparklr2端进行一次身份验证。我这样做：

@Bean
    public OAuth2ProtectedResourceDetails sparklr() {
        AuthorizationCodeResourceDetails details = new AuthorizationCodeResourceDetails();
        details.setId("sparklr/tonr");
        details.setClientId("tonr");
        details.setTokenName("oauth_token");
        details.setClientSecret("secret");
        details.setAccessTokenUri(accessTokenUri);
        details.setUserAuthorizationUri(userAuthorizationUri);
        details.setScope(Arrays.asList("openid"));
        details.setGrantType("client_credentials");
        details.setAuthenticationScheme(AuthenticationScheme.none);
        details.setClientAuthenticationScheme(AuthenticationScheme.none);
        return details;
    }

但我有Authentication is required to obtain an access token (anonymous not allowed)。我查了this question。当然，我的用户是匿名的 - 我想登录Sparklr2。此外，我尝试了这种bean的不同设置组合，但没有什么好处。怎么解决？如何使它按我想要的方式工作？

Answer 1

该职位差不多两年了。

从AccessTokenProviderChain

抛出异常

        Authentication auth = SecurityContextHolder.getContext().getAuthentication();

        if (auth instanceof AnonymousAuthenticationToken) {
            if (!resource.isClientOnly()) {
                throw new InsufficientAuthenticationException(
                    "Authentication is required to obtain an access token (anonymous not allowed)");
            }
        }

你要么

• 在ClientCredentialsResourceDetails或
中使用OAuth2RestTemplate
• 在使用AuthorizationCodeResourceDetails访问外部资源
之前对用户进行身份验证

事实上，在tonr2 and sparklr2示例中（我个人认为该名称非常混乱），要访问sparklr2上的资源，用户必须首先在tonr2上进行身份验证。如oauth2/tonr中所示：

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication().withUser("marissa").password("wombat").roles("USER").and().withUser("sam")
            .password("kangaroo").roles("USER");
}

如果您的用户是匿名用户，您可能需要检查Single Sign On。

对于想要快速尝试Oauth2集成的人，请在您的应用程序中添加基本身份验证：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .anyRequest().authenticated().and().httpBasic();
}

application.properties：

spring.security.user.password=password
spring.security.user.name=user

不要忘记将spring-boot-starter-security添加到您的项目中。

e.g。在gradle中：compile 'org.springframework.boot:spring-boot-starter-security'

或者您也可以通过以下方式禁用AnonymousAuthenticationToken：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.anonymous().disable();
}

Answer 2

旧帖子...

确实确实从AccessTokenProviderChain引发了异常，但是当Spring安全过滤器调用了错误的顺序时，就会发生该异常。确保您的OpenIdAuthenticationFilter在OAuth2ClientContextFilter之后调用。