Spring oauth2和摘要身份验证将协同工作

时间:2017-11-21 05:38:39

标签: spring spring-security spring-oauth2

我已将spring oauth2添加到我的宁静服务中。大多数服务都是由我自己的门户使用的,因此获取令牌然后调用api就可以了。但是,我已经暴露了一些必须在没有此令牌概念的情况下调用的Web服务。那些消费者有用户名和密码。

最好的例子是Swagger实现。打开swagger页面的地方应该通过摘要而不是oauth令牌进行身份验证。

下面的代码更改我做了但它不起作用。 我相信,在这种情况下我不需要从资源服务器调用oauth服务器。所以只需在资源服务器中创建以下代码。但是看到问题就像验证页面接受了我的凭据后再次重新路由/重定向到同一个身份验证页面。

请帮忙。

@Configuration
@EnableResourceServer
public class ResourceServerImpl extends ResourceServerConfigurerAdapter {


    @Override
    public void configure(HttpSecurity http) throws Exception {    
        http.anonymous().disable().requestMatchers().antMatchers("/**").and().authorizeRequests()
        .antMatchers(HttpMethod.POST, "/url1/path1/path2").hasAnyAuthority( "FUNCTION_FN1")
        .antMatchers(HttpMethod.GET, "/url2/path1/path2").hasAnyAuthority( "FUNCTION_FN2")
        .antMatchers("/swagger-ui.html").hasRole("USER")
        .anyRequest().authenticated()
        .and().formLogin().and().httpBasic()
        .and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());
    }
}


@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    protected void configureGlobal(AuthenticationManagerBuilder auth) throws Exception{
        auth.inMemoryAuthentication().withUser("user").password("password").roles("USER");
    }
}

更新 我不认为这可以使用DIGEST进行一些身份验证,有些人使用OAUTH。所以目前我制作的swagger url也要用oauth令牌进行身份验证,而不是消化支持。

1 个答案:

答案 0 :(得分:2)

是的,绝对可以在同一个应用程序中配置多个授权机制。应为每种机制提供不同的WebSecurityConfigurerAdapter实例。 @EnableResourceServer@EnableAuthorizationServer提供相应的oauth适配器。 ApiSecurityConfiguration为基本身份验证提供适配器。

以下是basicoauth2的最小工作样本:

@SpringBootApplication
public class TestApp {

    @RestController
    public static class Endpoints {

        // doesn't require any authentication
        @RequestMapping("/test")
        public String test() {
            return "no auth";
        }

        // requires basic authentication
        @RequestMapping("/api/test")
        public String apiTest() {
            return "basic auth";
        }

        // requires oauth authentication
        @RequestMapping("/oauth/test")
        public String oauthTest() {
            return "oauth";
        }
    }

    @Configuration
    @EnableWebSecurity
    public static class ApiSecurityConfiguration extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.requestMatchers().antMatchers("/api/**")
                    .and()
                    .authorizeRequests().antMatchers("/api/**").hasRole("USER")
                    .and()
                    .httpBasic();
        }

        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.inMemoryAuthentication()
                    .withUser("user")
                    .password("password")
                    .roles("USER");
        }
    }

    @Configuration
    @EnableAuthorizationServer
    public static class AuthServerConfiguration extends AuthorizationServerConfigurerAdapter {

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory()
                    .withClient("test")
                    .secret("test")
                    .authorizedGrantTypes("client_credentials")
                    .authorities("USER")
                    .scopes("read", "write", "test")
                    .resourceIds("oauth2-resource")
                    .accessTokenValiditySeconds(120);
        }
    }

    @Configuration
    @EnableResourceServer
    public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.requestMatchers().antMatchers("/oauth/**")
                    .and()
                    .authorizeRequests().antMatchers("/oauth/**").authenticated();
        }
    }

    public static void main(String[] args) {
        SpringApplication.run(TestApp.class, args);
    }
}

pom.xml

  <build>
    <plugins>
      <plugin>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
      </plugin>
    </plugins>
  </build>

  <dependencies>
    <dependency>
      <groupId>org.springframework.security.oauth</groupId>
      <artifactId>spring-security-oauth2</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
  </dependencies>