独立Spring OAuth2 JWT授权服务器+ CORS

问题描述 投票:22回答:5

所以我有来自Dave Syer的this example的以下授权服务器

@SpringBootApplication
public class AuthserverApplication {

    public static void main(String[] args) {
            SpringApplication.run(AuthserverApplication.class, args);
    }

    /* added later
    @Configuration
    @Order(Ordered.HIGHEST_PRECEDENCE)
    protected static class MyWebSecurity extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http //.csrf().disable() 
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/oauth/token").permitAll();
       }
    }*/

    @Configuration
    @EnableAuthorizationServer
    protected static class OAuth2AuthorizationConfig extends
                    AuthorizationServerConfigurerAdapter {

            @Autowired
            private AuthenticationManager authenticationManager;

            @Bean
            public JwtAccessTokenConverter jwtAccessTokenConverter() {
                    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
                    KeyPair keyPair = new KeyStoreKeyFactory(
                                    new ClassPathResource("keystore.jks"), "foobar".toCharArray())
                                    .getKeyPair("test");
                    converter.setKeyPair(keyPair);
                    return converter;
            }

            @Override
            public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
                    clients.inMemory()
                                    .withClient("acme")
                                    //.secret("acmesecret")
                                    .authorizedGrantTypes(//"authorization_code", "refresh_token",
                                                    "password").scopes("openid");
            }

            @Override
            public void configure(AuthorizationServerEndpointsConfigurer endpoints)
                            throws Exception {
                    endpoints.authenticationManager(authenticationManager).accessTokenConverter(
                                    jwtAccessTokenConverter());
            }

            @Override
            public void configure(AuthorizationServerSecurityConfigurer oauthServer)
                            throws Exception {
                    oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess(
                                    "isAuthenticated()");
            }
    }
}

当我运行它并用卷曲测试它

curl acme@localhost:8110/oauth/token -d grant_type=password -d client_id=acme -d username=user -d password=password

我得到一个JWT作为响应,但是当我尝试从我的前端(Angular JS在不同的端口上)访问AuthServer时,我收到CORS错误。不是因为缺少Headers,而是因为OPTION请求被拒绝并且缺少凭据。

Request URL:http://localhost:8110/oauth/token
Request Method:OPTIONS
Status Code:401 Unauthorized
WWW-Authenticate:Bearer realm="oauth", error="unauthorized", error_description="Full authentication is required to access this resource"

我已经知道我必须添加一个CorsFilter并另外找到this post,我使用该片段作为第一个答案让OPTIONS请求访问/oauth/token而不使用凭据:

@Order(-1)
public class MyWebSecurity extends WebSecurityConfigurerAdapter {
   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http
          .authorizeRequests()
          .antMatchers(HttpMethod.OPTIONS, "/oauth/token").permitAll();
   }
}

之后,我得到了卷曲以下错误:

{"timestamp":1433370068120,"status":403,"error":"Forbidden","message":"Expected CSRF token not found. Has your session expired?","path":"/oauth/token"}

为了简单起见,我只是将http.csrf().disable()添加到MyWebSecurity类的configure方法中,该方法解决了OPTION请求的问题,但因此POST请求不再起作用,我得到There is no client authentication. Try adding an appropriate authentication filter.(也有curl)。

我试图找出是否必须以某种方式连接MyWebSecurity类和AuthServer,但没有任何运气。原始示例(开头的链接)也注入了authenticationManager,但这对我没有任何改变。

spring-security cors jwt spring-security-oauth2
5个回答
90
投票

找到我的问题的原因!

如果CorsFilter处理OPTIONS请求,我只需要结束过滤链并立即返回结果!

simple cors filter.Java

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class SimpleCorsFilter implements Filter {

    public SimpleCorsFilter() {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

之后我可以忽略我的AuthServer = D中的OPTIONS预检请求

因此,服务器的工作方式如上所述,您可以在开头忽略带有MyWebSecurity类的块注释。

24
投票

我找到了一个使用解决方案的解决方案。但我有另一种方式来描述解决方案:

@Configuration
public class WebSecurityGlobalConfig extends WebSecurityConfigurerAdapter {
      ....
      @Override
      public void configure(WebSecurity web) throws Exception {
        web.ignoring()
          .antMatchers(HttpMethod.OPTIONS);
      }
      ...
}
11
投票

我使用以下内容遇到了类似的问题

  • 后端Spring Boot 1.5.8.RELEASE
  • 春天OAuth2 Spring OAuth 2.2.0.RELEASE w
  • 使用Vuejs ajax请求库的axios应用程序

随着postman一切正常!当我开始从Vuejs应用程序发出请求时,我得到以下错误

选项http://localhost:8080/springboot/oauth/token 401()

XMLHttpRequest无法加载http://localhost:8080/springboot/oauth/token。预检的响应具有无效的HTTP状态代码401

看了一下之后,我发现我可以通过在我的Spring OAuth实现课中覆盖OPTIONS来指示我的configure忽略WebSecurityConfigurerAdapter请求如下

@Override
public void configure(WebSecurity web) throws Exception {
   web.ignoring().antMatchers(HttpMethod.OPTIONS);
}

添加上述帮助但是,然后,我遇到了CORS特定的错误

选项http://localhost:8080/springboot/oauth/token 403()

XMLHttpRequest无法加载http://localhost:8080/springboot/oauth/token。对预检请求的响应未通过访问控制检查:请求的资源上不存在“Access-Control-Allow-Origin”标头。因此,'http://localhost:8000'原产地不允许进入。响应具有HTTP状态代码403。

并在CorsConfig的帮助下解决了上述问题,如下所示

@Configuration
public class CorsConfig {
    @Bean
    public FilterRegistrationBean corsFilterRegistrationBean() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.applyPermitDefaultValues();
        config.setAllowCredentials(true);
        config.setAllowedOrigins(Arrays.asList("*"));
        config.setAllowedHeaders(Arrays.asList("*"));
        config.setAllowedMethods(Arrays.asList("*"));
        config.setExposedHeaders(Arrays.asList("content-length"));
        config.setMaxAge(3600L);
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

添加上述类后,它按预期工作。在我去prod之前,我将研究使用consequences

web.ignoring().antMatchers(HttpMethod.OPTIONS);

和以上best practices配置的Cors。目前*完成了这项工作,但绝对不能保证生产安全。

西里尔的回答帮助了我partially,然后我在这个CorsConfig问题中遇到了Github的想法。

3
投票

好吧,你说得对!这是一个解决方案,它也适用于我(我有同样的问题)

但是,让我为Java使用更智能的CORS Filter实现:http://software.dzhuvinov.com/cors-filter.html

这是Java应用程序的完整解决方案。

实际上,你可以看到here如何解决你的观点。

0
投票

在这里使用Spring Boot 2。

我必须在我的AuthorizationServerConfigurerAdapter中这样做

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

    Map<String, CorsConfiguration> corsConfigMap = new HashMap<>();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    //TODO: Make configurable
    config.setAllowedOrigins(Collections.singletonList("*"));
    config.setAllowedMethods(Collections.singletonList("*"));
    config.setAllowedHeaders(Collections.singletonList("*"));
    corsConfigMap.put("/oauth/token", config);
    endpoints.getFrameworkEndpointHandlerMapping()
            .setCorsConfigurations(corsConfigMap);

    //additional settings...
}
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.