2. 질의 응답
  3. oauth 토큰 기반 및 세션 기반 인증이 봄에 함께 작동하는 방법은 무엇입니까?

oauth 토큰 기반 및 세션 기반 인증이 봄에 함께 작동하는 방법은 무엇입니까?

2017-03-06 3 views
0

스프링 세션 기반 인증으로 클라이언트 자격증 명 부여 유형을 가진 oauth2 기반 토큰을 통합하려고했습니다. oauth 토큰과 주어진 권한으로 잘 작동합니다.oauth 토큰 기반 및 세션 기반 인증이 봄에 함께 작동하는 방법은 무엇입니까?

둘 다 결합했을 때 작동하지 않습니다. OAuth2AuthenticationProcessingFilter가 아닌 UsernamePasswordAuthenticationFilter를 항상 호출합니다.

함께 작동시키는 방법은 무엇입니까? 여기에 필터 체인 내 ResourceServer 구성

@Configuration 
@EnableResourceServer 
protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter { 

    @Override 
    public void configure(ResourceServerSecurityConfigurer resources) { 
     resources.resourceId(SPARKLR_RESOURCE_ID).stateless(false); 
    } 

    @Override 
    public void configure(HttpSecurity http) throws Exception { 
     // @formatter:off 
     http 
      // Since we want the protected resources to be accessible in the UI as well we need 
      // session creation to be allowed (it's disabled by default in 2.0.6) 
      .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) 
     .and() 
      .requestMatchers().antMatchers("/api/account/**", "/oauth/users/**", "/oauth/clients/**","/me") 
     .and() 
      .authorizeRequests() 
       .antMatchers("/api/account/**").access("#oauth2.hasScope('read') or (!#oauth2.isOAuth() and hasRole('ROLE_USER'))")     
       .regexMatchers(HttpMethod.DELETE, "/oauth/users/([^/].*?)/tokens/.*") 
        .access("#oauth2.clientHasRole('ROLE_CLIENT') and (hasRole('ROLE_USER') or #oauth2.isClient()) and #oauth2.hasScope('write')") 
       .regexMatchers(HttpMethod.GET, "/oauth/clients/([^/].*?)/users/.*") 
        .access("#oauth2.clientHasRole('ROLE_CLIENT') and (hasRole('ROLE_USER') or #oauth2.isClient()) and #oauth2.hasScope('read')") 
       .regexMatchers(HttpMethod.GET, "/oauth/clients/.*") 
        .access("#oauth2.clientHasRole('ROLE_CLIENT') and #oauth2.isClient() and #oauth2.hasScope('read')"); 
     // @formatter:on 
    } 
}

문제는, OAuth2AuthenticationProcessingFilter가 호출 가져 오지이다. 따라서 어떤 나머지 호출에 대해서도 토큰 유효성 검사가 일어나지 않습니다. 아래는 필터 체인입니다.

XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 1 of 12 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter' 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 2 of 12 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter' 
XNIO-2 task-1] w.c.HttpSessionSecurityContextRepository : No HttpSession currently exists 
XNIO-2 task-1] w.c.HttpSessionSecurityContextRepository : No SecurityContext was available from the HttpSession: null. A new one will be created. 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 3 of 12 in additional filter chain; firing Filter: 'HeaderWriterFilter' 
XNIO-2 task-1] o.s.s.w.header.writers.HstsHeaderWriter : Not injecting HSTS header since it did not match the requestMatcher org.springframework.se[email protected]74d294b6 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 4 of 12 in additional filter chain; firing Filter: 'LogoutFilter' 
XNIO-2 task-1] o.s.s.web.util.matcher.OrRequestMatcher : Trying to match using Ant [pattern='/api/logout', GET] 
XNIO-2 task-1] o.s.s.web.util.matcher.OrRequestMatcher : No matches found 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 5 of 12 in additional filter chain; firing Filter: 'UsernamePasswordAuthenticationFilter' 
XNIO-2 task-1] o.s.s.w.u.matcher.AntPathRequestMatcher : Request 'GET /api/account' doesn't match 'POST /api/authentication 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 6 of 12 in additional filter chain; firing Filter: 'DefaultLoginPageGeneratingFilter' 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 7 of 12 in additional filter chain; firing Filter: 'RequestCacheAwareFilter' 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 8 of 12 in additional filter chain; firing Filter: 'SecurityContextHolderAwareRequestFilter' 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 9 of 12 in additional filter chain; firing Filter: 'AnonymousAuthenticationFilter' 
XNIO-2 task-1] o.s.s.w.a.AnonymousAuthenticationFilter : Populated SecurityContextHolder with anonymous token: 'org.sprin[email protected]9055c2bc: Principal: anonymousUser; Credentials 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 10 of 12 in additional filter chain; firing Filter: 'SessionManagementFilter' 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 11 of 12 in additional filter chain; firing Filter: 'ExceptionTranslationFilter' 
XNIO-2 task-1] o.s.security.web.FilterChainProxy  : /api/account at position 12 of 12 in additional filter chain; firing Filter: 'FilterSecurityInterceptor'

편집 : 내가 함께이 두 사업을 통합하기 위해 노력하고있어. https://github.com/jhipster/jhipster-sample-apphttps://github.com/spring-projects/spring-security-oauth/tree/master/samples/oauth2/sparklr

출처

2017-03-06 bagui

+0

기본 필터 체인이 어떻게 구성되었는지 (이 요청을 처리 한 것으로 보입니다) 표시하지 않았습니다. 어딘가에 완벽한 샘플이 있습니까? –

+0

@Dave - 전체 샘플을 찾으십시오 - (https://github.com/ibagui/besquare-oauth/blob/master/src/main/java/io/github/jhipster/sample/config/OAuth2ServerConfig.java). 이 두 프로젝트를 병합하려고합니다. (https://github.com/jhipster/jhipster-sample-app) 및 (https://github.com/spring-projects/spring-security-oauth/tree/master/samples/oauth2/sparklr) – bagui

답변

1

리소스 서버 필터 체인은 스프링 부트 1.5를 사용하므로 기본적으로 jhipster가 추가 한 사용자 정의 필터 체인보다 높은 순서로되어 있습니다. 주문을 변경하거나 OAuth 리소스가 기본 필터 체인과 일치하지 않도록 패턴 일치기를 변경해야합니다. 스프링 부트 사용자 가이드에서는 사용자 정의 필터 체인을 특정 순서 (SecurityProperties.ACCESS_OVERRIDE_ORDER)로 넣는 것이 좋습니다. 아마도 그 조언을 따르는 좋은 아이디어 일 겁니다.

출처

2017-03-18 18:47:42

 관련 문제

  • 관련 문제 없음^_^