Spring Boot with Security OAuth2-как использовать сервер ресурсов с веб-формой входа?
я Весна Загрузки (1.2.1.RELEASE) приложение, которое служит что OAuth2 (2.0.6.RELEASE) авторизация и сервер ресурсов в одном экземпляре приложения. Он использует пользовательские UserDetailsService реализация, которая использует MongoTemplate для поиска пользователей в MongoDB. Аутентификация с помощью grant_type=password on /oauth/token работает как шарм, а также авторизация с Authorization: Bearer {token} заголовок при вызове определенных ресурсов.
теперь я хочу добавить простой диалог подтверждения OAuth на сервер, чтобы я мог аутентифицировать и авторизовать, например, вызовы Swagger UI в api-документах для защищенных ресурсов. Вот что я сделал до сих пор:
@Configuration
@SessionAttributes("authorizationRequest")
class OAuth2ServerConfig extends WebMvcConfigurerAdapter {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/login").setViewName("login");
registry.addViewController("/oauth/confirm_access").setViewName("authorize");
}
@Configuration
@Order(2)
protected static class LoginConfig extends WebSecurityConfigurerAdapter implements ApplicationEventPublisherAware {
@Autowired
UserDetailsService userDetailsService
@Autowired
PasswordEncoder passwordEncoder
ApplicationEventPublisher applicationEventPublisher
@Bean
DaoAuthenticationProvider daoAuthenticationProvider() {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider()
provider.passwordEncoder = passwordEncoder
provider.userDetailsService = userDetailsService
return provider
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.parentAuthenticationManager(authenticationManagerBean())
.userDetailsService(userDetailsService)
.passwordEncoder(passwordEncoder())
}
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
//return super.authenticationManagerBean()
ProviderManager providerManager = new ProviderManager([daoAuthenticationProvider()], super.authenticationManagerBean())
providerManager.setAuthenticationEventPublisher(new DefaultAuthenticationEventPublisher(applicationEventPublisher))
return providerManager
}
@Bean
public PasswordEncoder passwordEncoder() {
new BCryptPasswordEncoder(5)
}
}
@Configuration
@EnableResourceServer
protected static class ResourceServer extends ResourceServerConfigurerAdapter {
@Value('${oauth.resourceId}')
private String resourceId
@Autowired
@Qualifier('authenticationManagerBean')
private AuthenticationManager authenticationManager
@Override
public void configure(HttpSecurity http) throws Exception {
http.setSharedObject(AuthenticationManager.class, authenticationManager)
http.csrf().disable()
http.httpBasic().disable()
http.formLogin().loginPage("/login").permitAll()
//http.authenticationProvider(daoAuthenticationProvider())
http.anonymous().and()
.authorizeRequests()
.antMatchers('/login/**').permitAll()
.antMatchers('/uaa/register/**').permitAll()
.antMatchers('/uaa/activate/**').permitAll()
.antMatchers('/uaa/password/**').permitAll()
.antMatchers('/uaa/account/**').hasAuthority('ADMIN')
.antMatchers('/api-docs/**').permitAll()
.antMatchers('/admin/**').hasAuthority('SUPERADMIN')
.anyRequest().authenticated()
//http.sessionManagement().sessionCreationPolicy(STATELESS)
}
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.resourceId(resourceId)
resources.authenticationManager(authenticationManager)
}
}
@Configuration
@EnableAuthorizationServer
protected static class OAuth2Config extends AuthorizationServerConfigurerAdapter {
@Value('${oauth.clientId}')
private String clientId
@Value('${oauth.secret:}')
private String secret
@Value('${oauth.resourceId}')
private String resourceId
@Autowired
@Qualifier('authenticationManagerBean')
private AuthenticationManager authenticationManager
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
return new JwtAccessTokenConverter();
}
@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
oauthServer.checkTokenAccess("permitAll()")
oauthServer.allowFormAuthenticationForClients()
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager)
.accessTokenConverter(accessTokenConverter())
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient(clientId)
.secret(secret)
.authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")
.authorities("USER", "ADMIN")
.scopes("read", "write", "trust")
.resourceIds(resourceId)
}
}
}
основная проблема заключается в том, что я не могу сделать оба (веб-форма входа и токен авторизации OAuth2 в заголовке). Если ResourceServer получает более высокий приоритет, тогда авторизация токена OAuth2 работает, но я не могу войти в систему с помощью веб-формы. С другой стороны, если я установил более высокий приоритет LoginConfig класс, затем авторизация токена OAuth2 останавливается рабочий.
пример: форма входа в систему работает, авторизация токена OAuth2 не
я понял, что в этом случае проблема вызвана не зарегистрированы OAuth2AuthenticationProcessingFilter. Я попытался зарегистрировать его вручную в ResourceServer.configure(HttpSecurity http) метод, но он не работал - я мог видеть фильтр в списке FilterChain, но он не срабатывал. Это был плохой способ исправить это, потому что во время инициализации ResourceServer сделано много другой магии, поэтому я перешел ко второму случай.
пример: форма входа в систему не работает, авторизация токена OAuth2 работает
в этом случае основная проблема заключается в том, что по умолчанию UsernamePasswordAuthenticationFilter не удается найти Правильно настроенный AuthenticationProvider экземпляр (в ProviderManager). Когда я попытался добавить его вручную:
http.authenticationProvide(daoAuthenticationProvider())
он получает один, но в этом случае нет AuthenticationEventPublisher определенная и успешная аутентификация не может быть опубликована для других компонентов. И на самом деле в следующей итерации он заменяется AnonymousAuthenticationToken. Вот почему я попытался определить вручную AuthenticationManager экземпляр DaoAuthenticationProvider внутри:
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
//return super.authenticationManagerBean()
ProviderManager providerManager = new ProviderManager([daoAuthenticationProvider()], super.authenticationManagerBean())
providerManager.setAuthenticationEventPublisher(new DefaultAuthenticationEventPublisher(applicationEventPublisher))
return providerManager
}
я думал, что это сработает, но есть другая проблема с предоставлением AuthenticationManager экземпляр для зарегистрированных фильтров. Оказывается, каждый фильтр имеет authenticationManager вводится вручную с помощью sharedObjects компоненты:
authFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
проблема здесь в том, что вам не гарантируется правильный набор экземпляров, потому что есть простой HashMap (проверяем его на На GitHub) используется для хранения определенного общего объекта, и его можно изменить в любое время. Я попытался установить его в:
http.setSharedObject(AuthenticationManager.class, authenticationManager)
но прежде чем я доберусь до места, где он читается, он уже заменен реализацией по умолчанию. Я проверил его с помощью отладчика, и похоже, что для каждого нового фильтра есть новый экземпляр диспетчера аутентификации.
мой вопрос: правильно ли я это делаю? Как настроить сервер авторизации с помощью ресурсов сервер интегрирован в одно приложение с формой входа в систему (диалог OAuth2)? Может быть, это можно сделать по-другому и гораздо проще. Я был бы благодарен за любую помощь.
3 ответов
вот решение проблемы. Взгляните на это примерное Groovy класс:
@Configuration
@EnableResourceServer
class ResourceServer extends ResourceServerConfigurerAdapter {
@Value('${oauth.resourceId}')
private String resourceId
@Override
public void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
http.httpBasic().disable()
http.requestMatchers().antMatchers('/admin/**', '/uaa/**')
.and().authorizeRequests()
.antMatchers('/uaa/authenticated/**').authenticated()
.antMatchers('/uaa/register/**').permitAll()
.antMatchers('/uaa/activate/**').permitAll()
.antMatchers('/uaa/password/**').permitAll()
.antMatchers('/uaa/auth/**').permitAll()
.antMatchers('/uaa/account/**').hasAuthority('ADMIN')
.antMatchers('/admin/**').hasAuthority('ADMIN')
.anyRequest().authenticated()
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
}
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.resourceId(resourceId);
}
}
В основном, для запуска OAuth2.0 аутентификация параллельно с аутентификацией веб-формы, вы должны поставить
http.requestMatchers().antMatchers('/path/1/**', '/path/2/**')
настройки класса. Моя предыдущая конфигурация пропустила эту важную часть, поэтому только OAuth2.0 принял участие в процессе аутентификации.
Я не думаю, что вы должны пытаться настроить логин формы или http basic в вашем ResourceServerConfigurerAdapter и, конечно, не если у вас уже есть их в другое WebSecurityConfigurerAdapter (вы делаете, потому что они включены по умолчанию). Это может сработать, но решения аутентификации и доступа настолько различны для защищенного ресурса OAuth2 и пользовательского интерфейса, что я рекомендую держать их отдельно (как и во всех образцах в github). Если вы согласны с рекомендацией и продолжите работу с уже определенными компонентами, ключ к получению этого права-знать, что цепочки фильтров пробуются последовательно, и первый из них выигрывает, поэтому только один из них будет действовать по любому заданному запросу. Вы должны поместить сопоставители запросов в обе цепочки (или, по крайней мере, с самым низким порядком) и убедиться, что они не перекрываются.
Что делать, если вы используете разные конечные точки, настроенные с разной безопасностью?
для приведенного выше примера все с /uaa /** защищено с помощью WebSecurityConfigurerAdapter и/ api-docs / ** с помощью ResourceServerConfigurerAdapter.
в этом случае будут ли цепочки фильтров конфликтовать?