Spring 安全OAuth2,谁决定安全?
Spring Security OAuth2, which decides security?
我一直在尝试使用 Dave Syer 的指南并从 JHipster 获得一些灵感来实现 OAuth2 身份验证服务器。但我不知道它们是如何协同工作的。
当我使用 ResourceServerConfigurerAdapter 时,使用 WebSecurityConfigurerAdapter 的安全设置似乎被覆盖了。
@Configuration
@EnableResourceServer
public class OAuth2ResourceConfig extends ResourceServerConfigurerAdapter {
private TokenExtractor tokenExtractor = new BearerTokenExtractor();
@Override
public void configure(HttpSecurity http) throws Exception {
http
.addFilterAfter(contextClearer(), AbstractPreAuthenticatedProcessingFilter.class)
.authorizeRequests()
.anyRequest().authenticated().and().httpBasic();
}
private OncePerRequestFilter contextClearer() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
if (tokenExtractor.extract(request) == null) {
SecurityContextHolder.clearContext();
}
filterChain.doFilter(request, response);
}
};
}
@Component
public class CustomWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
private final AuthenticationManager authenticationManager;
@Autowired
public CustomWebSecurityConfigurerAdapter(AuthenticationManager authenticationManager) {
this.authenticationManager = authenticationManager;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.parentAuthenticationManager(authenticationManager);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.formLogin()
.loginPage("/login").permitAll()
.and()
.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
.and()
.requestMatchers().antMatchers("/login", "/oauth/authorize", "/oauth/confirm_access")
.and()
.authorizeRequests().anyRequest().authenticated();
}
}
这是从几个不同示例中提取的代码,因此它们可能不会很好地混合。但是我找不到适合 OAuth2 的 documentation/example 列表(与 Spring Boot 不同,它有很棒的文档),所以我在理解它们如何组合在一起时遇到了问题。
如果我不将 loginForm 添加到 ResourceServerConfigurerAdapter,它只会给我未授权。但我在 WebSecurityConfigurererAdapter 中将其定义为 permitAll()。
这是 AuthorizationServerConfigurerAdapter:
@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("acme")
.secret("acmesecret")
.authorizedGrantTypes("authorization_code", "refresh_token",
"password").scopes("openid");
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager).accessTokenConverter(jwtAccessTokenConverter);
}
@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
}
}
我做错了什么吗?我是否必须在 ResourceServerConfigurerAdapter 中设置所有安全性?我什至还需要 WebSecurityConfigurerAdapter 吗?
如果有人知道任何指南、教程、博客或任何类似的东西可以帮助我理解它是如何工作的,那将不胜感激。
亲切的问候,肯尼斯。
您需要 WebSecurityConfigurerAdapter 来保护 /authorize 端点并为用户提供一种身份验证方式。 Spring 引导应用程序会为您完成此操作(通过添加自己的 WebSecurityConfigurerAdapter 和 HTTP 基本身份验证)。默认情况下,它会创建一个 order=0 的过滤器链,并保护所有资源,除非您提供请求匹配器。 @EnableResourceServer 做了类似的事情,但它添加的过滤器链默认为 order=3。 WebSecurityConfigurerAdapter 有一个@Order(100) 注释。因此,首先将检查 ResourceServer(身份验证),然后检查您对 WebSecurityConfigureAdapter 扩展的检查。
您的配置看起来很正常(登录链优先,但只匹配一小部分请求)。
我一直在尝试使用 Dave Syer 的指南并从 JHipster 获得一些灵感来实现 OAuth2 身份验证服务器。但我不知道它们是如何协同工作的。
当我使用 ResourceServerConfigurerAdapter 时,使用 WebSecurityConfigurerAdapter 的安全设置似乎被覆盖了。
@Configuration
@EnableResourceServer
public class OAuth2ResourceConfig extends ResourceServerConfigurerAdapter {
private TokenExtractor tokenExtractor = new BearerTokenExtractor();
@Override
public void configure(HttpSecurity http) throws Exception {
http
.addFilterAfter(contextClearer(), AbstractPreAuthenticatedProcessingFilter.class)
.authorizeRequests()
.anyRequest().authenticated().and().httpBasic();
}
private OncePerRequestFilter contextClearer() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
if (tokenExtractor.extract(request) == null) {
SecurityContextHolder.clearContext();
}
filterChain.doFilter(request, response);
}
};
}
@Component
public class CustomWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
private final AuthenticationManager authenticationManager;
@Autowired
public CustomWebSecurityConfigurerAdapter(AuthenticationManager authenticationManager) {
this.authenticationManager = authenticationManager;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.parentAuthenticationManager(authenticationManager);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.formLogin()
.loginPage("/login").permitAll()
.and()
.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
.and()
.requestMatchers().antMatchers("/login", "/oauth/authorize", "/oauth/confirm_access")
.and()
.authorizeRequests().anyRequest().authenticated();
}
}
这是从几个不同示例中提取的代码,因此它们可能不会很好地混合。但是我找不到适合 OAuth2 的 documentation/example 列表(与 Spring Boot 不同,它有很棒的文档),所以我在理解它们如何组合在一起时遇到了问题。 如果我不将 loginForm 添加到 ResourceServerConfigurerAdapter,它只会给我未授权。但我在 WebSecurityConfigurererAdapter 中将其定义为 permitAll()。
这是 AuthorizationServerConfigurerAdapter:
@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("acme")
.secret("acmesecret")
.authorizedGrantTypes("authorization_code", "refresh_token",
"password").scopes("openid");
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager).accessTokenConverter(jwtAccessTokenConverter);
}
@Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
}
}
我做错了什么吗?我是否必须在 ResourceServerConfigurerAdapter 中设置所有安全性?我什至还需要 WebSecurityConfigurerAdapter 吗?
如果有人知道任何指南、教程、博客或任何类似的东西可以帮助我理解它是如何工作的,那将不胜感激。
亲切的问候,肯尼斯。
您需要 WebSecurityConfigurerAdapter 来保护 /authorize 端点并为用户提供一种身份验证方式。 Spring 引导应用程序会为您完成此操作(通过添加自己的 WebSecurityConfigurerAdapter 和 HTTP 基本身份验证)。默认情况下,它会创建一个 order=0 的过滤器链,并保护所有资源,除非您提供请求匹配器。 @EnableResourceServer 做了类似的事情,但它添加的过滤器链默认为 order=3。 WebSecurityConfigurerAdapter 有一个@Order(100) 注释。因此,首先将检查 ResourceServer(身份验证),然后检查您对 WebSecurityConfigureAdapter 扩展的检查。
您的配置看起来很正常(登录链优先,但只匹配一小部分请求)。