带有client_credentials的Oaut2RestTemplate错误(不允许匿名)

时间:2017-05-09 01:01:09

标签: java spring spring-boot spring-security spring-oauth2

我尝试使用ResourceServerConfigurerAdapter(使用Oauth2 client_credentials)来访问受Spring Security保护的Web服务

以下是安全配置

//Micoservice 1
@Configuration
@EnableResourceServer
class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    @Autowired
    private Environment env;

    @Autowired
    private DummyUserFilter dummyUserFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterAfter(dummyUserFilter, LogoutFilter.class)
            .formLogin().disable()
            .httpBasic().disable()
            .csrf().disable()
            .antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/js/**", "/webjars/**").permitAll()
            .anyRequest()
                .authenticated();
    }
}

此应用程序(微服务1)将由具有Oauth2RestTemplate的其他应用程序(微服务2)访问。以下是Oauth2RestTemplate配置。

//MicroService 2
@Configuration
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate() {
        ClientCredentialsResourceDetails resourceDetails = new ClientCredentialsResourceDetails();
        resourceDetails.setAccessTokenUri("https://<UAA>/oauth/token");
        resourceDetails.setClientId("#####");
        resourceDetails.setClientSecret("#####");
        resourceDetails.setGrantType("client_credentials");
        resourceDetails.setTokenName("access_token");

        DefaultOAuth2ClientContext clientContext = new DefaultOAuth2ClientContext();

        OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails, clientContext);

        return restTemplate;
    }
}

Microservice 2有各种Web服务,使用RestTemplate访问Microservice 1的受保护Web服务。

这总是导致以下异常

需要身份验证才能获取访问令牌(匿名不允许)

我搜索了这个错误,发现它被AccessTokenProviderChain

抛出

这里是github相关代码的链接

https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/main/java/org/springframework/security/oauth2/client/token/AccessTokenProviderChain.java#L89 

if (auth instanceof AnonymousAuthenticationToken) {
    if (!resource.isClientOnly()) {
        throw new InsufficientAuthenticationException(
                "Authentication is required to obtain an access token (anonymous not allowed)");
    }
}

似乎它不允许匿名用户访问Oauth2令牌。

我无意使用Oauth2保护客户端应用程序(微服务2),我必须使用client_credentials来预先配置Oauth2RestTemplate

如何阻止Spring阻止匿名用户访问令牌?

我已尝试在匿名用户的情况下使用虚拟身份验证填充SecurityContextHolder,但没有成功。即使我成功这样做,它似乎也是一种黑客攻击。

3 个答案:

答案 0 :(得分:2)

我遇到了同样的问题,并得出结论认为,具有多个实现者的AccessTokenProvider接口是罪魁祸首。默认情况下,OAuth2RestTemplate实例化AccessTokenProviderChain,它试图重用现有的登录上下文。但是,如果不存在这样的登录名,则注定会失败。试试

restTemplate.setAccessTokenProvider(new ResourceOwnerPasswordAccessTokenProvider());

以您的工厂方法。这使用令牌提供程序,该令牌提供程序拥有其凭据,并且在其实现中根本不引用线程本地SecurityContextHolder

答案 1 :(得分:1)

尝试在第二个微服务中启用httpBasic()安全性,然后使用默认用户名(“user”)登录到它并在春天生成密码。

答案 2 :(得分:0)

使用 AuthorizedFeignClient 或 AuthorizedUserFeignClient 代替 oauth2RestTemplate...

相关问题
最新问题