OAuth2认证授权(OAuth2Client-OAuth2Server)问题

最新推荐文章于 2024-08-13 08:22:52 发布
最新推荐文章于 2024-08-13 08:22:52 发布
阅读量1.5w 收藏 4
点赞数 3
分类专栏: Spring 文章标签: OAuth2认证授权 authorization_request_not_foun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly_leopard/article/details/88740233
版权

OAuth2客户端:

spring-boot-starter-security:2.1.2.RELEASE

spring-security-oauth2-client:5.1.3.RELEASE

OAuth2认证服务:

spring-security-oauth2-autoconfigure:2.1.2.RELEASE

具体代码就不一一贴出来了,自己下载看,如有操作姿势不对的地方请联系我当面打脸

栗子源码:我是马云(oauth2xxx后缀的两个模块)

以下产生的问题,各位不一定产生,比较笨debug一点点调试出来的,没找到合适的参考资料,官网

问题1:org.springframework.security.oauth2.core.OAuth2AuthenticationException: [authorization_request_not_found]

产生该问题的主要原因本机测试中的授权中心和客户端都是采用localhost主机名,对于浏览器来说同一个域名,导致jsessionId在跳转到授权中心前的值和授权完毕后跳转回来的值不一致,浏览器认为是同一个域名所以JSessionID会被覆盖,导致在客户端从session中获取保存的authorizationRequest时获取不到,authorizcationRequest存放在session的Attribute中,key为JSessionID; 处理该问题方法就是让他们两个处于不同的域名或者ip,可以修改hosts增加一个域名。本文中OAuth2Server直接使用的局域网ip地址也可以解决这个问题,OAuth2Client使用localhost。

问题2:(该问题可能就我遇到了吧,没配置EnableResourceServer)

org.springframework.security.oauth2.core.OAuth2AuthenticationException: [invalid_user_info_response] An error occurred while attempting to retrieve the UserInfo Resource: 401 null

该问题是在OAuth2Client程序获取到授权中心回调的code后调用/oauth/token获取access_token后,紧接着调用userInfoUri获取用户认证信息(restTemplate),此时传递的是头信息包含Authentication: Bearer xxxxxxxx(access_token),但是授权中心获取到该请求后没有使用OAuth2过滤器认证(由于没有配置EnableResourceServer导致该过滤器没被启用), 而是通过session获取认证信息,但是由于没有携带session信息导致返回401未授权错误,出现上述问题。解决方法就是定义EnableResourceServer如下:并且注意下面注释部分的代码说明

package adminlte.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

/**
 * OAuth2不定义ResourceServer,认证鉴权采用方式为:
 *  客户端请求并授权后,oauth2会写一个JSESSIONID到客户端,后续客户端请求只要cookie中
 *  有这个会话id即可,oauth2每次收到请求会首先到session中获取授权信息,获取不到则返回401
 *  ,所以即使携带access_token访问一样会导致401 unauthorized,
 *  避免此问题需要启用EnableResourceServer注解,会增加OAuth2AuthenticationProcessingFilter过滤器
 *  ,该过滤器处理通过access_token访问才会生效
 *
 *  EnableResourceServer注解会启用OAuth2的token认证,在原基础上增加OAuth2AuthenticationProcessingFilter过滤器
 *   EnableResourceServer->(import ResourceServerConfiguration)->configure(http)->ResourceServerSecurityConfigurer
 *   -> OAuth2AuthenticationProcessingFilter
 * @author *已打码*
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        //此处是关键,默认stateless=true,只支持access_token形式,
        // OAuth2客户端连接需要使用session,所以需要设置成false以支持session授权
        resources.stateless(false);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .httpBasic();

        //需要的时候创建session,支持从session中获取认证信息,ResourceServerConfiguration中
        //session创建策略是stateless不使用,这里其覆盖配置可创建session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
    }
}

OAuth2Server Filter链

Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  OAuth2AuthenticationProcessingFilter
  UsernamePasswordAuthenticationFilter
  DefaultLoginPageGeneratingFilter
  DefaultLogoutPageGeneratingFilter
  BasicAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

OAuth2Client Filter链

Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  CsrfFilter
  LogoutFilter
  OAuth2AuthorizationRequestRedirectFilter
  OAuth2LoginAuthenticationFilter
  DefaultLoginPageGeneratingFilter
  DefaultLogoutPageGeneratingFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

 

 

 

 

 

 

 

 
 
 
mcatto
关注
专栏目录
Spring Security Oauth2系列(三)
索南杰夕的专栏
06-01 1万+
首先在讲这个话题之前,我想把自己遇见的最大的问题分享给大家Whitelabel Error PageThis application has no explicit mapping for /error, so you are seeing this as a fallback.Sat Mar 17 14:24:30 CST 2018There was an unexpected error (t...
authorization_request_not_found错误记录
qq_39848621的博客
12-22 4617
记录一下使用SpringSecurityOAuth2时遇到的错误问题描述解决(替换回去) 问题描述 在结合SpringCloud组件Gateway和SpringSecurity5做OAuth2登录时,从登录界面跳转时会发生authorization_request_not_found的错误,但重新输入地址访问后可以看到登录是成功的。由于不影响使用,我一直拖着没解决这个问题,直到最近有时间静下心来看看。 各种翻github后,从结论来说,这个问题是由于Gateway内置的WebClient和SpringSe
Go OAuth2 项目教程
最新发布
gitblog_00087的博客
08-13 821
Go OAuth2 项目教程 oauth2OAuth 2.0 server library for the Go programming language.项目地址:https://gitcode.com/gh_mirrors/oau/oauth2 项目介绍 Go OAuth2 是一个用 Go 语言编写的 OAuth2 授权库,旨在为 Go 开发者提供一个简单、灵活且安全的 OAuth2 实现。...
java oauth lib_Java OAuth 2.0 客户端编程(二): 客户端凭据授权
weixin_35143502的博客
02-13 275
概述OAuth 是一个开放的授权标准,允许客户端代表一个资源所有者获得对受保护服务器资源的访问权限。资源所有者可以是另一个客户端或最终用户。OAuth 还可以帮助最终用户将对其服务器资源的访问权限授权给第三方,而不必共享其凭据,比如用户名和密码。本系列文章遵从 RFC6749 中列出的 OAuth 2.0 授权框架。可以在 Internet Engineering Task Force 的网站上找...
[OAuth2]authorization_request_not_found
无bug无江湖
03-30 1067
最近在写一套OAuth2s授权认证,当在oauth2-client调用oauth2-server,并且在点击授权以后,oauth2-client却显示【authorization_request_not_found】,并跳到了登陆页面。经过上面修改后,就会解决cookie覆盖问题,从而解决了【authorization_request_not_found】这个问题。tips:对浏览器来说,cookie是区分域,不区分端口的,在一个ip地址下多个端口的cookie是共享的。
OAuth2.0授权码/oauth/authorize接口调用unauthorized异常
热门推荐
tianlong1569的专栏
09-03 1万+
调用/oauth/authorize接口时,代码首先进入org.springframework.web.method.support.InvocableHandlerMethod类的invokeForRequest方法;代码如下: @Nullable public Object invokeForRequest(NativeWebRequest request, @Nullable ModelAndViewContainer mavContainer, Object... providedArg
java 授权解决方案_基于Spring SecurityOauth2授权实现方法
weixin_42160424的博客
02-27 1121
前言经过一段时间的学习Oauth2,在网上也借鉴学习了一些大牛的经验,推荐在学习的过程中多看几遍阮一峰的《理解OAuth 2.0》,经过对Oauth2的多种方式的实现,个人推荐Spring SecurityOauth2的实现是相对优雅的,理由如下:1、相对于直接实现Oauth2,减少了很多代码量,也就减少的查找问题的成本。2、通过调整配置文件,灵活配置Oauth相关配置。3、通过结合路由组件(如...
Spring实战第6版第8章 OAuth2 客户端跑不起来
jjf19891208的专栏
12-14 143
【代码】Spring实战第6版第8章 OAuth2 客户端跑不起来。
oAuth2用户授权认证
hearth_b的博客
07-26 953
一、用户认证授权 1、什么是用户身份认证 用户身份认证即用户去访问系统资源对系统要求验证用户的身份信息,身份合法可继续访问,常见的用户认证表现形式有: 用户名密码登录,指纹打卡等方式 2、什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源无法访问, 这个过程叫做授权。 二、单点登录需求 项目包括很多个子项目,如:学习系统,教学管理中心,系统管理中心等,为了提高用户体验性需要实现用户只认证一次便可以在 多个拥有访问权限的系
授权认证中心:OAuth2
11-07 643
来源 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 《微服务架构实战160讲》 OAuth2授权认证中心 1 解决的问题 资源拥有者将资源存储在云服务上,需要通过第三方应用来访问此资源进行一些操作,怎么做? 密码用户名复制 适合公司内部使用,开发系统间不太安全 万能钥匙 协商一个developerKey,也是不太安全 特...
yii2-league-oauth2-server:Yii 2.0 实现 PHP 联盟 OAuth2 服务器接口
05-30
在Yii 2.0中实现OAuth2服务器接口,可以帮助开发者为他们的API提供安全的认证授权机制。 首先,我们需要安装`league/oauth2-server`库,这可以通过Composer来完成。在项目根目录下运行以下命令: ```bash ...
node-oauth2-server:完整,合规且经过良好测试的模块,用于在node.js中使用express实现OAuth2 ServerProvider
04-21
npm install oauth2-server oauth2-server模块与框架无关,但是有几种官方支持的包装器可用于流行的HTTP服务器框架,例如和 。 如果使用的是这些框架之一,则强烈建议使用相应的包装器模块,而不要滚动自己的包装器...
oauth2-node-client:适用于Node.js的OAuth2授权代码流库
04-04
总结,`oauth2-node-client`为Node.js开发者提供了一个强大的工具,简化了OAuth2授权代码流的实现,使他们能够专注于构建功能丰富的应用,而不必过于担心授权和安全问题。尽管文档暂时缺失,但通过了解OAuth2的基本...
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
Spring Boot Oauth2 Server 是一个基于 Spring Boot 和 Spring SecurityOAuth2 认证服务实现,它可以帮助开发者构建安全的 RESTful API 和 Web 应用。OAuth2 是一个授权框架,允许第三方应用在用户许可的情况下...
多线程异步方法Spring Security框架的SecurityContext无法获取认证信息的原因及解决方案
小蜜蜂1010的博客
11-19 3690
解决异步任务执行时,无法获取Spring Security的安全上下文中的用户身份信息
SpringSecurity OAuth2异常处理OAuth2Exception
程序员劝退师的博客
10-02 4063
前言 在我们使用SpringSecurity OAuth2做认证授权时,默认返回都是SpringSecurity OAuth2提供好的,返回不是很友好,本章就是针对这些异常做统一返回处理,主要解决返回格式问题,和返回提示信息重写!我们先来看看SpringSecurity OAuth2默认返回格式,如下! 本文将默认返回改造为如下格式 { code:xxx, msg:xxxx, data:xxx } SpringSecurity OAuth2异常处理呢,又分为两部分,一部分为授权授权时异常,通常包
SpringSecurity +oauth2自定义异常(三)
ytyDaMoTou的博客
03-18 454
对此,显然不满足开发需求,整改如下;
Spring中的OAuth2
qq_45726327的博客
03-24 1987
Auth” 表示 “授权Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示,OAuth2是一种开放授权协议。
Spring Cloud OAuth2认证授权实战详解与步骤
2. Auth-Server:作为OAUTH2认证授权中心,它扮演了ResourceOwner(资源所有者)与Client(客户端,如Web或移动应用)之间的中介。它处理用户身份验证请求,根据用户提供的凭据(如密码、授权码等)颁发access_token...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值