Spring boot 2.0.3 + Security + Oauth2 автоконфигурация

Question

Spring boot 2.0.3 + Security + Oauth2 автоконфигурация

Я работаю с OAuth2 и микросервисами, я создал микросервис для генерации токенов авторизации и другой микросервис в качестве клиента. Генерация токенов работает, но когда я пытаюсь использовать этот сгенерированный токен в клиентской службе для аутентификации, он не работает.

Микросервис, генерирующий токены: localhost: 9999

Токен, созданный с помощью URL: estrutura: estruturasecret @ localhost: 9999 / oauth / token

   [
       {
          "key":"grant_type",
          "value":"password"
       },
       {
          "key":"username",
          "value":"matheus"
       },
       {
          "key":"password",
          "value":"teste"
       },
       {
          "key":"client_id",
          "value":"estrutura"
       }
    ]

возврат:

 {
        "access_token": "2e4c26b3-0fcf-493e-a255-6216b98811c5",
        "token_type": "bearer",
        "refresh_token": "5e33740a-ccb9-4ec1-94be-3a4643b8097a",
        "expires_in": 42479,
        "scope": "read write"
    }

Заказчик Микросервис: localhost: 9090

@SpringBootApplication
@EnableResourceServer
public class ClientServer {
   public static void main(String[] args) {
      SpringApplication.run(ClientServer.class, args);
   }
}

application.yml:

server:
  port: 9090
  servlet:
    context-path: /client
spring:
  application:
    name: client-server
  security:
    oauth2:
      client:
        client-id: estrutura
        client-secret: estruturasecret
        access-token-uri: localhost:9999/oauth/token
        user-authorization-uri: localhost:9999/oauth/authorize
      resource:
        token-info-uri: localhost:9999/oauth/check_token
logging:
  level:
    org.springframework.security: DEBUG

Ошибка:

<error>invalid_token</error>
<error_description>Invalid access token: 2e4c26b3-0fcf-493e-a255-6216b98811c5</error_description>

Журналы:

2018-06-26 11:24:42.641 DEBUG 18658 --- [nio-9090-exec-2] o.s.security.web.FilterChainProxy        : /alunos at position 5 of 11 in additional filter chain; firing Filter: 'OAuth2AuthenticationProcessingFilter'
2018-06-26 11:24:42.641 DEBUG 18658 --- [nio-9090-exec-2] p.a.OAuth2AuthenticationProcessingFilter : Authentication request failed: error="invalid_token", error_description="Invalid access token: 2e4c26b3-0fcf-493e-a255-6216b98811c5"
2018-06-26 11:24:42.645 DEBUG 18658 --- [nio-9090-exec-2] o.s.s.w.header.writers.HstsHeaderWriter  : Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@1fa75b
2018-06-26 11:24:42.647 DEBUG 18658 --- [nio-9090-exec-2] s.s.o.p.e.DefaultOAuth2ExceptionRenderer : Written [error="invalid_token", error_description="Invalid access token: 2e4c26b3-0fcf-493e-a255-6216b98811c5"] as "application/xml;charset=UTF-8" using [org.springframework.http.converter.xml.MappingJackson2XmlHttpMessageConverter@30d6fa45]
2018-06-26 11:24:42.647 DEBUG 18658 --- [nio-9090-exec-2] s.s.w.c.SecurityContextPersistenceFilter : SecurityContextHolder now cleared, as request processing completed

Документация: https://docs.spring.io/spring-security-oauth2-boot/docs/current-SNAPSHOT/reference/htmlsingle/#boot-features-security-oauth2-authorization-server

Answer 1

Я попытался повторить ваш вариант использования: я разрабатываю AuthServer с весенней облачной безопасностью и ResourceServer. Проблема, которую я вижу при использовании стратегии token-info-uri, заключается в том, что весной для проверки токена используется RemoteTokenServices, а для получения информации о токене используется OAuth2RestTemplate. конфигурации, как показано ниже:

@EnableOAuth2Client
@EnableResourceServer
@SpringBootApplication
public class HelloOauthServiceApplication {

    public static void main(String[] args) {
        SpringApplication.run(HelloOauthServiceApplication.class, args);
    }

    @Bean
    public OAuth2RestTemplate oAuth2RestTemplate(OAuth2ProtectedResourceDetails resource){
        return new OAuth2RestTemplate(resource);
    }
}

обратите внимание на определение @EnableOAuth2Client и OAuth2RestTemplate bean. Spring использует эту конфигурацию для проверки и обновления вашего токена.

Однако в этом случае любой ресурсный сервер должен быть также клиентским приложением, и, по моему опыту, он не масштабируется. Мой личный совет - использовать стратегию user-info-uri. В этом случае Spring будет использовать специальную конечную точку, чтобы удалить пользовательское уведомление. конфигурация очень проста в вашем сервере ресурсов, вы определяете только @EnableResourceServer, как в вашем примере в вашем yaml вы можете настроить только часть ресурса, как показано ниже

security:
  oauth2:
    resource:
     user-info-uri: http://localhost:9090/account/userInfo.json
     preferTokenInfo: false

Единственная дополнительная разработка - это ваш сервер аутентификации, который должен предоставлять информацию о пользователе в конечной точке, как показано ниже:

@RestController
@RequestMapping("/account")
class UserRestFullEndPoint {

    @GetMapping("/userInfo")
    public Principal userInfo(Principal principal){
        return principal;
    }
}

Я использую этот подход много раз, и я заметил, что он работает очень хорошо и масштабируется, потому что на ваших ресурсных серверах вы не определяете его, как и клиентское приложение.

Я надеюсь, что это может быть полезно

приписка

в вашей конфигурации вы забыли протокол http:

server:
  port: 9090
  servlet:
    context-path: /client
    spring:
      application:
        name: client-server
      security:
        oauth2:
          client:
            client-id: estrutura
            client-secret: estruturasecret
            access-token-uri: http://localhost:9999/oauth/token
            user-authorization-uri: http://localhost:9999/oauth/authorize
          resource:
            token-info-uri: http://localhost:9999/oauth/check_token
    logging:
      level:
        org.springframework.security: DEBUG