我使用 spring-boot 和 Spring REST 编写了一个简单的 REST API 后端。
端点将由各种第三方应用程序使用并且按预期工作。
现在我想使用 spring security 和 OAUTH 2.0 来保护这些端点。
我计划使用外部 OAuth 2.0 授权服务器,这样我的 rest-api-backend(spring-boot 应用程序)将充当资源服务器,并且通过调用外部授权服务器的 token 内省(introspection)端点来验证访问 token 。
每当客户端应用程序使用访问 token 调用我的api-end-points时(使用机器到机器流中的 client_credentials 授权类型从外部 authz 服务器获得的不透明承载 token ) 在授权 header 中,Spring 总是抛出以下错误:
{
"error": "access_denied",
"error_description": "Invalid token does not contain resource id (oauth2-resource)"
}
经过一些研究,通过以下方式将调用应用程序的客户端 ID 设置为资源 ID 解决了该问题:
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.tokenServices(tokenService());
resources.resourceId("5ght-6117-fdc6-8787-9017-20c784a9c03a");
// super.configure(resources);
}
似乎 Spring 验证了 token 内省(introspection)响应中针对资源 ID 中设置的值的 aud 声明。
我无法完全理解这一点,为什么 Spring 会这样做?
作为资源服务器,它应该简单地检查访问 token 是否有效、是否具有正确的范围等。
Spring 是否维护了一个允许客户端的白名单?
在我的例子中,有多个客户端应用程序将访问 rest-api-backend,那么如何存储它们的多个客户端 ID?
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.2.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>spring-security-test</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>spring-security-test</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
<version>2.2.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
PS:我已经检查过许多关于该主题的其他类似问题,但找不到我在这里提出的问题的答案。
最佳答案
当客户端向身份提供者进行身份验证时,它可以选择包含资源标识符。在身份提供者上配置客户端时,通常您可以选择要求资源标识符,如果客户端不提供资源标识符,则身份验证将失败,或者可以选择为该客户端指定默认值。
您正在构建一个资源服务器,并且可以为其分配任何标识符,只要它对于身份提供者是唯一的即可。我通常使用我的服务的 URL 作为资源标识符。有时,当我希望在不同的 URL 中使用相同的资源标识符(就像我在开发、QA 和生产环境之间使用的那样)但只有单个身份提供者。
听起来您的身份提供者在未提供受众时正在使用受众,这是一个合理的默认设置,因为在您的情况下,您的资源服务既是受众又是资源。然而,情况并非总是如此。
考虑 Facebook 想要访问您的 Gmail 联系人的情况。在此场景中,Gmail 是资源,Facebook 是受众。作为身份提供者的谷歌将询问用户是否愿意授予 Facebook 访问他的联系人的权限。如果用户授予访问权限(这只会发生一次),Google 将提供一个 token 。否则,认证失败。
范围是一个不同的概念。资源提供者可以决定将资源中的可用数据分成小节;每个小节都有一个名称(或范围)。在我们上面的示例中,Gmail 可以将联系人的数据分解为姓名、家庭住址、电话号码、电子邮件地址、推特用户名等。当用户授予 Facebook 访问他的联系人列表时,他可以限制 Facebook 仅访问姓名和电子邮件地址因此禁止访问联系人的家庭住址、电话号码和推特提要。由资源提供者(即您的服务)强制执行此约束。
可以通过在上面的代码中将值设置为 null 来禁用 Spring 对资源标识符的验证。这是我在 Azure Active Directory 是我的身份提供者时使用的。
resources.resourceId(null); // Disabled since Microsoft does not support resource ids.
关于java - Spring security oAuth 2.0(无效 token 不包含资源id(oauth2-resource)),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59543388/