Алгоритм не поддерживается - OAuth в Gentics Mesh - PullRequest
Новая
       14

Алгоритм не поддерживается - OAuth в Gentics Mesh

1 голос
/ 12 октября 2019

Я использую новую поддержку OAuth в Gentics Mesh, но получаю исключение - 

ecms-mesh-server     | 23:57:42.312 [] INFO  [vert.x-eventloop-thread-4] [i.v.e.w.h.i.LoggerHandlerImpl] - 192.168.16.4 - GET /api/v2/auth/me HTTP/1.1 200 587 - 7 ms
ecms-mesh-server     | 23:58:09.374 [] DEBUG [vert.x-eventloop-thread-4] [c.g.m.a.p.MeshJWTAuthProvider] - Could not authenticate token.
ecms-mesh-server     | java.lang.RuntimeException: Algorithm not supported
ecms-mesh-server     |  at io.vertx.ext.jwt.JWT.decode(JWT.java:280)
ecms-mesh-server     |  at io.vertx.ext.auth.jwt.impl.JWTAuthProviderImpl.authenticate(JWTAuthProviderImpl.java:122)
ecms-mesh-server     |  at com.gentics.mesh.auth.provider.MeshJWTAuthProvider.authenticateJWT(MeshJWTAuthProvider.java:90)
ecms-mesh-server     |  at com.gentics.mesh.auth.handler.MeshJWTAuthHandler.handleJWTAuth(MeshJWTAuthHandler.java:152)
ecms-mesh-server     |  at com.gentics.mesh.auth.handler.MeshJWTAuthHandler.handle(MeshJWTAuthHandler.java:89)
ecms-mesh-server     |  at com.gentics.mesh.auth.MeshAuthChain.lambda$secure$0(MeshAuthChain.java:40)
ecms-mesh-server     |  at io.vertx.ext.web.impl.RouteImpl.handleContext(RouteImpl.java:231)

Я запускаю сервер в докере, с Spring Boot Gateway впереди, используя Token RelayФильтр.

Я могу получить доступ к Mesh через шлюз нормально, если я анонимный или аутентифицирован Mesh.
Но если я аутентифицируюсь с Okta, и шлюз передает мой токен в Mesh, я получаю исключение .. .

Я добавил файл /config/public-keys.json с содержимым моих открытых ключей Okta.

enter image description here

Обновление:
Я могу подтвердить в журналах, что мои открытые ключи извлекаются, потому что выходные данные отладки совпадают с моим /config/public-keys.jsonсодержание. 

ecms-mesh-server     | 00:19:55.101 [] DEBUG [vert.x-eventloop-thread-0] [c.g.m.a.MeshOAuth2ServiceImpl] - {
ecms-mesh-server     |   "kty" : "RSA",
ecms-mesh-server     |   "alg" : "RS256",
ecms-mesh-server     |   "kid" : "u13712iLhUmkpeREecKaQhPvZvuImdNVWGJwAmgU-SM",
ecms-mesh-server     |   "use" : "sig",
ecms-mesh-server     |   "e" : "AQAB",
ecms-mesh-server     |   "n" : "vw5G7FUjegmT_BybIfgDWr..."
ecms-mesh-server     | }
ecms-mesh-server     | 00:19:55.101 [] DEBUG [vert.x-eventloop-thread-0] [c.g.m.a.MeshOAuth2ServiceImpl] - {
ecms-mesh-server     |   "kty" : "RSA",
ecms-mesh-server     |   "alg" : "RS256",
ecms-mesh-server     |   "kid" : "DzmghgcUAcXhxL-LeF3qJqefqeQpHR4BSHUoSY7m3FU",
ecms-mesh-server     |   "use" : "sig",
ecms-mesh-server     |   "e" : "AQAB",
ecms-mesh-server     |   "n" : "4yosHHYoEW6wqqOso5qfDONqLw2MK..."
ecms-mesh-server     | }
ecms-mesh-server     | 00:19:55.102 [] DEBUG [vert.x-eventloop-thread-0] [c.g.m.a.AuthHandlerContainer] - Keys changed. Creating a new auth handler to be used.

1 Ответ

1 голос
/ 16 октября 2019

Я заметил параметр токена "kid" в заголовке, в списке открытых ключей не было соответствующего "kid". Я использовал неправильные серверы авторизации JWKs ... вау. Хех.

У меня было это - https://dev -xxxxxx.okta.com / oauth2 / v1 / keys

Когда это должно было быть - https://dev -xxxxxx.okta.com / oauth2 / default / v1 / keys

Надеюсь, это поможет кому-то еще.

...