28、Authentication request failed: error=“access_denied“, error_description=“Invalid token does not c

最新推荐文章于 2024-08-05 22:12:19 发布
最新推荐文章于 2024-08-05 22:12:19 发布
阅读量9.4k 收藏 2
点赞数
分类专栏: spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiang987654321/article/details/88133463
版权

主题错误:

 Authentication request failed: error="access_denied", error_description="Invalid token does not contain resource id (oauth2-resource)"

 

发博词

Spring Security OAuth2 架构上分为Authorization Server和Resource Server。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。再给client授权的时候,可以设置这个client可以访问哪一些微服务实例,如果没设置,就是对所有的resource都有访问权限。

ResourceID在哪设置

在每个ResourceServer实例上设置。

 

配置文件

经测试,这个不管用,原因待查。

security:

enable-csrf: false

oauth2:

resource:

id: resource1

jwt:

key-uri: http://authorization-server:8080/oauth/token_key

filter-order: 3

 

ResourceServerConfigurerAdapter

@Configuration@EnableResourceServer@EnableOAuth2Client

public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter{

// 改资源服务器id必须在数据库记录中有配置,也就是对应token的用户必须该资源访问权限(密文:test_resource_secret)

// 例如,我的数据库记录:'wx_takeout_client_id','test_resource_id','$2a$10$I28j9B0T/roapkMEqfIHguARt0GgLyXwC/DOnFwPpXuQ0xTkrd632','user_info','authorization_code,refresh_token,implicit,password','http://localhost:7010/uaa/login','ROLE_ADMIN,ROLE_DEVICE,ROLE_VIDEO',3600,7200,'{\"systemInfo\":\"Atlas  System\"}','true'

// 通过授权模式或简化模式获取的token(对应用户为wx_takeout_client_id)具有访问资源服务器test_resource_id的权限,所以将改资源服务器id要与数据库的对应,否则无法访问

private static final String DEMO_RESOURCE_ID = "resource1";



@Override

public void configure(ResourceServerSecurityConfigurer resources) {

resources.resourceId(DEMO_RESOURCE_ID).stateless(true);

}

}

 

ResourceID在哪验证

@EnableResourceServer会给Spring Security的FilterChan添加一个OAuth2AuthenticationProcessingFilter,OAuth2AuthenticationProcessingFilter会使用OAuth2AuthenticationManager来验证token。 

OAuth2AuthenticationManager#authenticate(Authentication authentication)

public Authentication authenticate(Authentication authentication) throws AuthenticationException {



if (authentication == null) {

throw new InvalidTokenException("Invalid token (token not found)");

}

String token = (String) authentication.getPrincipal();

OAuth2Authentication auth = tokenServices.loadAuthentication(token);

if (auth == null) {

throw new InvalidTokenException("Invalid token: " + token);

}



Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();

if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {

throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");

}



checkClientDetails(auth);



if (authentication.getDetails() instanceof OAuth2AuthenticationDetails) {

OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();

// Guard against a cached copy of the same details

if (!details.equals(auth.getDetails())) {

// Preserve the authentication details from the one loaded by token services

details.setDecodedDetails(auth.getDetails());

}

}

auth.setDetails(authentication.getDetails());

auth.setAuthenticated(true);

return auth;



}



下面这段便是验证resourceid的地方;

Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();

if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {

throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");

}

 

注意

(1)在Spring Security的FilterChain中,OAuth2AuthenticationProcessingFilter在FilterSecurityInterceptor的前面,所以会先验证client有没有此resource的权限,只有在有此resource的权限的情况下,才会再去做进一步的判断;

(2)同时配置WebSecurity与ResourceServer的时候,也就是认证服务器和资源服务器在统一机器的时候,会导致授权码模式失效,最根本问题是WebSecurity与ResourceServer冲突,为解决改问题,只要给的配置都指定一个序号,websecurity的优先级高于ResourceServer才行,即WebSecurity的@Order(2)要小于ResourceServer

 

快来成为我的朋友或合作伙伴,一起交流,一起进步!
QQ群:961179337
微信:lixiang6153
邮箱:lixx2048@163.com
公众号:IT技术快餐
更多资料等你来拿!

 

 

贝壳里的沙
关注
专栏目录
【0000】PostgreSQL V13.2内核源码剖析专栏(2018 ~ 2024.10.09 更新)
专注【PostgreSQL源码学习&研究】
12-13 3882
本专栏将会持续更新,直到将PostgreSQL V13.2源码涉及的所有原理、技术剖析完成为止。每一篇文章都是经过多次的源码阅读 + 调试,得以验证之后才梳理成文章形式。最终该专栏的文章数量应该在一万篇或以下,这也是文章序号从【0000】开始的缘故。通过本专栏的学习,能够让你掌握PostgreSQL数据库中的每个技术背后,底层的实现原理。
Git克隆gitlab上的私有项目,总是报拒绝访问Access denied 或 connect to host dev.fencode.com port 22: Connection refused
SjwFdb_1__1的博客
06-01 2608
成功解决: Cloning into 'video'... remote: HTTP Basic: Access denied fatal: Authentication failed for 'http://dev.fencode.com/ai/video.git/' Cloning into 'video'... ssh: connect to host dev.fencode.com port 22: Connection refused fatal: Could not read fro.
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter
weixin_33895016的博客
02-24 7072
2019独角兽企业重金招聘Python工程师标准>>> ...
postMan在测试接口时报错 error access_denied
qq_35146059的博客
06-02 3117
postMan在测试接口时报错 “error”: “access_denied”, “error_description”: “Invalid token does not contain resource id (panels)” 解决方法: 重新配置生成新的token,即可
已经安装modelscope 但是还是报错ModuleNotFoundError: No module named modelscope 的解决方法
最新发布
m0_47579668的博客
08-05 541
将导包代码单独运行,那个模块没有就下载那个。
WeiBo返回错误码的二种方式
weixin_33701564的博客
11-23 200
    OAuth2.0 错误码 新浪微博OAuth2.0实现中,授权服务器在接收到验证授权请求时,会按照OAuth2.0协议对本请求的请求头部、请求参数进行检验,若请求不合法或验证未通过,授权服务器会返回相应的错误信息,包含以下几个参数: error: 错误码 error_code: 错误的内部编号 error_description: 错误的描述信息 error_url: 可...
Spring Security教程外篇(1)---- AuthenticationException异常详解
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-16 6万+
这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下AuthenticationException常用的的子类: UsernameNotFoundException 用户找不到 BadCredentialsException 坏的凭据 AccountStatusException 用户状态异常它包含如下子类 AccountExpiredException 账户过期
Error: ER_ACCESS_DENIED_ERROR:的解决办法
泥鸽鸽的博客
06-25 1万+
出现这个问题一般是表示数据库没有连上或者后端服务器找不到对应的数据库 首先确认自己电脑中有这个数据库存在 并且数据库服务正在运行(即cmd命令行中已经开启该数据库服务) 如果以都已经开启 那么打开后端的数据库配置文件 如下 要确保本机中的数据库名称 账号 密码均与数据库配置文件中的一致 这样后台服务器才能访问到该数据库 如果不一致将数据库配置文件中的改成本机数据库的即可 ...
[spring]-【spring-oauth2】-笔记1
长泽雅美我老婆的博客
04-06 4859
oauth2的简单体验,后续会继续更新多点的内容(是自己看网课和文档,自己慢慢摸索出来的,所以写的比较杂,涉及简单的源码部分) 一、简单体验 1. 搭建项目 没什么操作,注意控制住spring-cloud 和 spring-boot 的版本就OK。 依赖: -pom.xml <parent> <groupId>org.springframework.boot</groupId> <artifactId>sprin.
Django(62)自定义认证类
weixin_43880991的博客
06-13 541
前言 如果我们不用使用drf那套认证规则,我们想自定义认证类,那么我们首先要知道,drf本身是如何定义认证规则的,也就是要查看它的源码是如何写的 源码分析 源码的入口在APIView.py文件下的dispatch方法下的self.initial方法中的self.perform_authentication(request),点击查看后如下 def perform_authentication(s...
Spring-Security-Oauth2学习笔记(3):自定义异常处理
qq_26121913的博客
02-13 4934
1 前言 上一章我们已经按照与前端的约定自定义了token的返回格式。同样的,程序在运行过程中会产生各种异常,这些默认的异常对前端非常的不友好,比如默认的Oauth2异常response的status=4XX,返回的格式如下: { "error": "invalid_grant", "error_description": "Bad credentials" } 现在我们同样要把...
oauth2排错
weixin_49004800的博客
08-31 715
(Spring Security Oauth2 :资源服务器在使用jwt token的时候 遇到报错Invalid token does not contain resource id (XXX)) 问题描述: 提示:这里描述项目中遇到的问题: 例如:在配置好jwtToken的时候,返回的token在check_token接口上也能被解析,可是在被访问资源的时候,报出这样的错误Invalid token does not contain resource id (XXX)) 原因分析: 分析: 例如:
access denied. authentication failed for...解决办法
qq_43437571的博客
11-01 1538
git 拉取代码失败
springboot Oauth2配置OAuth2AuthenticationProcessingFilter
huhanguang89的博客
05-23 1万+
工作中遇到一个比较蛋疼的情况,Oauth2人家的jar包封装的好好的,当access_token超时的时候,返回的是OAuth2Exception,格式是{"error":"invalid_request","error_description":"code:'401','msg'='Invalid access token'"}。可是公司其他和我对接的同事非要我统一所有的返回为code,msg。
ModelScope 魔塔社区初探
sinat_39035618的博客
05-22 6198
第一次接触 ModelScope,记录下在 macOS 上的安装过程。
Spring Security OAuth2之resource_id配置与验证
字母哥博客
07-28 8190
一、resource_id的作用 Spring Security OAuth2 架构上分为Authorization Server认证服务器和Resource Server资源服务器。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。Authorization Server给client第三方客户端授权的时候,可以设置这个client可以访问哪一些Resource Server资源服务,如果没设置,就是对所有的Resource Server都有访问权限。
failed to create bucket: rpc error: code = PermissionDenied desc = Access denied without authentication token
05-31
这个错误信息通常表示您在尝试创建一个存储桶时没有提供有效的身份验证令牌。您需要提供有效的身份验证令牌才能访问该服务。请检查您的身份验证令牌是否有效并正确配置。如果是使用云服务提供商的存储桶服务,您还需要确保您的账户有足够的权限来创建存储桶。如果您仍然遇到问题,请查看相关文档或联系服务提供商的支持团队获得更多帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝壳里的沙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值