Spring Security OAuth2 资源服务器总是返回无效的 token

标签 spring oauth spring-security

我正在尝试使用 Spring 库运行基本的内存 OAuth2 服务器。我一直在关注sparklr example .

我目前已经配置了服务器并且几乎一切正常,但是我无法从资源服务器访问我的受限资源。

我的测试工作流程:

  1. 访问 oauth 授权 URI 以启动 OAuth2 流程:http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client

  2. 重定向到登录页面:http://localhost:8080/server/login

  3. 使用代码参数处理批准并重定向到我配置的重定向页面:http://localhost:8080/client?code=HMJO4K

  4. 使用客户端 ID 和 key 以及授权类型和代码使用基本身份验证构造一个 GET 请求:http://localhost:8080/server/oauth/token?grant_type=authorization_code&code=HMJO4K

  5. 接收一个 access_token 并刷新 token 对象作为返回

    { 访问 token :“f853bcc5-7801-42d3-9cb8-303fc67b0453” token_type: "承载者" refresh_token:“57100377-dea9-4df0-adab-62e33f2a1b49” 过期时间:299 范围:“读写” }

  6. 尝试使用 access_token 访问受限资源:http://localhost:8080/server/me?access_token=f853bcc5-7801-42d3-9cb8-303fc67b0453

  7. 收到无效的 token 回复

    { 错误:“invalid_token” error_description:“无效的访问 token :f853bcc5-7801-42d3-9cb8-303fc67b0453” }

  8. 再次发布到 token uri 以刷新 token :http://localhost:8080/server/oauth/token?grant_type=refresh_token&refresh_token=57100377-dea9-4df0-adab-62e33f2a1b49

  9. 接收新 token

    { access_token:“ed104994-899c-4cd9-8860-43d5689a9420” token_type: "承载者" refresh_token:“57100377-dea9-4df0-adab-62e33f2a1b49” expires_in: 300 范围:“读写” }

我真的不确定我做错了什么,但似乎除了访问受限 uri 之外的所有内容都正常工作。这是我的配置:

@Configuration
public class Oauth2ServerConfiguration {

    private static final String SERVER_RESOURCE_ID = "oauth2-server";

    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            resources.resourceId(SERVER_RESOURCE_ID);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http
                .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and().requestMatchers()
                    .antMatchers("/me")
                .and().authorizeRequests()
                    .antMatchers("/me").access("#oauth2.clientHasRole('ROLE_CLIENT')")
            ;
        }
    }

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthotizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

        @Autowired
        private ClientDetailsService clientDetailsService;

        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory()
                .withClient("client")
                    .resourceIds(SERVER_RESOURCE_ID)
                    .secret("secret")
                    .authorizedGrantTypes("authorization_code", "refresh_token")
                    .authorities("ROLE_CLIENT")
                    .scopes("read","write")
                    .redirectUris("http://localhost:8080/client")
                    .accessTokenValiditySeconds(300)
                    .autoApprove(true)
            ;
        }

        @Bean
        public TokenStore tokenStore() {
            return new InMemoryTokenStore();
        }

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
            endpoints
                .tokenStore(tokenStore())
                .userApprovalHandler(userApprovalHandler())
                .authenticationManager(authenticationManager)
            ;
        }

        @Override
        public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
            oauthServer.realm("oauth");
        }

        @Bean
        public ApprovalStore approvalStore() throws Exception {
            TokenApprovalStore store = new TokenApprovalStore();
            store.setTokenStore(tokenStore());
            return store;
        }

        @Bean
        public UserApprovalHandler userApprovalHandler() throws Exception {
            TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
            handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));
            handler.setClientDetailsService(clientDetailsService);
            handler.setTokenStore(tokenStore());

            return handler;
        }
    }
}

是我遗漏了什么还是我处理不正确?任何帮助将不胜感激。

最佳答案

您的第 6 步是错误的 - 不应在 URL 中发送访问 token ,因为这样很容易受到攻击。而不是 GET,使用 POST。

此外,我不明白您的第 1 步 - 您为什么调用/oauth/authorize?当您尝试获取 protected 资源时,它应该隐式完成。我的意思是,您的流程应该从以下开始:

Attempt to access a restricted resource using the access_token: http://localhost:8080/server/me

然后协商将在“幕后”开始:重定向到“/oauth/authorize”等。

此外,在第 8 步中,请注意您不是在请求“另一个访问 token ”,而是请求“刷新 token ”。好像您的访问 token 已过期。

注意:身份提供者和资源服务器应该共享tokenStore!在这里阅读:Spring Security OAuth2 pure resource server

HTH

关于Spring Security OAuth2 资源服务器总是返回无效的 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29596036/

上一篇:spring - 如何将 @Valid 与 Spring MVC 的 @RequestBody 参数一起使用?

下一篇:java - 用于 Java/Spring 配置的 ZooKeeper?

相关文章:

java - Spring Boot 项目不在 Gradle 本地存储库上运行

java - 如何使用 java 获取 Google 的 OAuth 请求 token

grails - Grails Spring Security和CAS问题

java - 如何自定义 IDP 登录页面

spring - 哪个版本的 Spring AMQP 和 Spring Rabbit 与 Spring 5 兼容?

java - 访问安全 URL 时未调用 Spring Security 身份验证过滤器

java - java executorService 与 tomcat 中的最大线程数

oauth - 如何使用 rest api 调用获取 Openshift session token

node.js - Passport : BasicStrategy vs LocalStrategy?

spring-security - Spring Security 身份验证入口点

©2024 IT工具网  联系我们