标签：spring-boot spring-security spring-oauth2 spring java

我正在尝试使用ResourceServerConfigurerAdapter(带有Oauth2 client_credentials)访问受Spring Security保护的Web服务

以下是安全性配置

//Micoservice 1
@Configuration
@EnableResourceServer
class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    @Autowired
    private Environment env;

    @Autowired
    private DummyUserFilter dummyUserFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterAfter(dummyUserFilter, LogoutFilter.class)
            .formLogin().disable()
            .httpBasic().disable()
            .csrf().disable()
            .antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/js/**", "/webjars/**").permitAll()
            .anyRequest()
                .authenticated();
    }
}

该应用程序(微服务1)将由另一个具有Oauth2RestTemplate的应用程序(微服务2)访问.以下是Oauth2RestTemplate配置.

//MicroService 2
@Configuration
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate() {
        ClientCredentialsResourceDetails resourceDetails = new ClientCredentialsResourceDetails();
        resourceDetails.setAccessTokenUri("https://<UAA>/oauth/token");
        resourceDetails.setClientId("#####");
        resourceDetails.setClientSecret("#####");
        resourceDetails.setGrantType("client_credentials");
        resourceDetails.setTokenName("access_token");

        DefaultOAuth2ClientContext clientContext = new DefaultOAuth2ClientContext();

        OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails, clientContext);

        return restTemplate;
    }
}

微服务2具有各种Web服务,这些Web服务使用RestTemplate访问微服务1的受保护Web服务.

这总是导致以下异常

需要认证才能获得访问令牌(不允许匿名)

我搜索了此错误,发现它已抛出AccessTokenProviderChain

这是来自github的相关代码的链接

https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/main/java/org/springframework/security/oauth2/client/token/AccessTokenProviderChain.java#L89

if (auth instanceof AnonymousAuthenticationToken) {
    if (!resource.isClientOnly()) {
        throw new InsufficientAuthenticationException(
                "Authentication is required to obtain an access token (anonymous not allowed)");
    }
}

似乎它不允许匿名用户访问Oauth2令牌.

我无意使用Oauth2保护客户端应用程序(微服务2),并且必须将client_credentials用于预配置的Oauth2RestTemplate.

如何阻止Spring阻止匿名用户访问令牌？

我已经尝试在匿名用户的情况下使用伪身份验证填充SecurityContextHolder,但没有成功.即使我成功做到了,这似乎也很容易.

解决方法:

我遇到了同样的问题,并得出结论,具有多个实现者的AccessTokenProvider接口是罪魁祸首.默认情况下,OAuth2RestTemplate实例化AccessTokenProviderChain,它试图重用现有的登录上下文.但是,如果不存在这样的登录名,则注定会失败.尝试

restTemplate.setAccessTokenProvider(new ResourceOwnerPasswordAccessTokenProvider());

用您的工厂方法.这使用令牌提供程序,该令牌提供程序拥有其凭据,并且在其实现中根本不引用线程本地SecurityContextHolder.

标签：spring-boot,spring-security,spring-oauth2,spring,java
来源： https://codeday.me/bug/20191111/2019552.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。