Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题

最新推荐文章于 2024-05-01 09:07:26 发布
最新推荐文章于 2024-05-01 09:07:26 发布
阅读量1.2w 收藏 11
点赞数 4
分类专栏: java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24230139/article/details/105091273
版权

文章目录


文章原地址

问题

当gateway充当OAuth2ResourceServer的时候,会出现hasRole配置无效的问题。

原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。

简而言之,我们需要把jwt 的Claim中authorities的值加入 这里有个人提出了这个问题,但是官方认为仅仅使用scope``scp这两个字段当做权限就足够了github issue

解决方案

我们重新定义一个ReactiveAuthenticationManager权限管理器 默认的权限管理器使用jwtGrantedAuthoritiesConverter作为默认的转换器,就是这个转换器默认只读取"scope", "scp"这两个作为权限。

JwtGrantedAuthoritiesConverter源码

来看源码,源码不长。
convert方法可以理解为转换器的调用入口,从这个方法开始看

/**
 * Extracts the {@link GrantedAuthority}s from scope attributes typically found in a
 * {@link Jwt}.
 *
 * @author Eric Deandrea
 * @since 5.2
 */
public final class JwtGrantedAuthoritiesConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
	private static final String DEFAULT_AUTHORITY_PREFIX = "SCOPE_";

	private static final Collection<String> WELL_KNOWN_AUTHORITIES_CLAIM_NAMES =
			Arrays.asList("scope", "scp");

	private String authorityPrefix = DEFAULT_AUTHORITY_PREFIX;

	private String authoritiesClaimName;

	/**
	 * Extract {@link GrantedAuthority}s from the given {@link Jwt}.
	 *
	 * @param jwt The {@link Jwt} token
	 * @return The {@link GrantedAuthority authorities} read from the token scope
最低0.47元/天 解锁文章
RW-Dai
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
serverhttpsecurity 缺少_看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer int...
weixin_33907300的博客
12-31 608
看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer introspect 错误最近在自己搭一个使用 SpringSecutiryOAuth2 的认证服务器, 这里的接口基于 SpringMVC, 而资源服务器是 SpringCloudGateway 建立的网关层,实现是 WebFlux。目的是为了在网...
ServerHttpSecurity设置pathMatchers.permitAll失效,仍然401.
慢慢的博客
01-26 6189
ServerHttpSecurity401,修改anyExchange访问
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5212
HttpSecuritySpring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
【实战】Spring Cloud Gateway 整合 OAuth2
最新发布
2401_84103818的博客
05-01 611
这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:以上就是本文的全部内容,希望对大家的面试有所帮助,祝大家早日升职加薪迎娶白富美走上人生巅峰!这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:[外链图片转存…(img-88mXgLUW-1714525635696)][外链图片转存…(img-3JlbLTDH-1714525635697)]
Security之会话篇
qq_43654581的博客
10-25 376
1.session 超时失效 2.session 并发失效 3.手动清除孤立 session 4.整合redis实现session共享(集群)
SpringSecurity WebFlux 过滤链生成源码分析
qq_39220528的博客
11-13 4275
概述 SpringSecurity主要采用建造者模式构造过滤器。
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
oauth2-server:基于Spring Security OAuth的统一账号管理平台
03-27
Spring安全OAuth2 Mybatis 环境依赖: JRE1.8 的Mysql5.7 配置说明 配置数据库 spring : datasource : driver-class-name : com.mysql.cj.jdbc.Driver username : root password : root url : jdbc:mysql://...
oauthserver:快速实现Spring Boot Oauth2授权服务,保护你的应用资源
02-05
oauthserver是一个基于Spring Boot Oauth2的完整的独立的Oauth2 Server微服务。项目的目的是,仅需要创建相关数据表,修改数据库的连接信息,你就可以得到一个Oauth2 Server微服务。为了开发方便,项目分解成6个模块...
spring-security-oauth2-2.3.5.RELEASE-API文档-文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的基本结构主要由三个部分组成:authorization-code-authorization-server、authorization-code-resource-server 和 authorization-code-client。authorization-code-...
使用spring-cloud-security-oauth2来实现oauth serverresource server
02-28
使用spring-cloud-security-oauth2来实现oauth serverresource serveroauth Serverresource Server分开,resource Server实现了两种方式
Spring WebFlux (7): Springboot Security+jwt登录鉴权
泛泛之素
08-17 8645
Spring WebFlux (3): mysql+Springboot Security实现登录鉴权的基础上实现 token登录的逻辑刚上手确实很复杂,挺难啃的,而且实现方法也不唯一,看过很多博客实现的方法基本都不一样,简单说一下我的方法: 首先设置一个WebFilter,主要两个功能: 登录和注册时是没有token的,这两个功能的路由放行 其他请求检查token,是否有token,token是否合法,讲处理的token放入上下文 然后就是实现ServerSecurityContextRe
serverhttpsecurity 缺少_请求失败,HTTP状态401:未经授权在SSRS
weixin_28622215的博客
01-13 326
My Application is in Asp.Net MVC3 coded in C#, i have a SSRS solution in SQL Server Business Intelligence Developement Studio in Visual Studio 2008 , I'm calling the SSRS report through my Asp.Net MV...
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6154
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
5.深入理解HttpSecurity的设计
飘然渡沧海的博客
03-06 340
深入理解HttpSecurity的设计
oauth2HttpSecurity配置疑惑指引
xianfengjunl的专栏
06-10 595
oauth2.0: 配置的生效顺序: @EnableAuthorizationServer ---> @EnableResourceServer ---> @EnableWebSecurity resourceServerHttpSecurity设置覆盖webSecurityHttpSecurity时,注意查看"http.antMatcher().authorizeRequests().antMatchers()"与"http.authorizeRequests...
SpringSecurity 使用 jwt 整合 Oauth2 时资源服务器出现的权限问题
cnkeysky的博客
02-12 1449
SpringSecurity 使用 jwt 整合 Oauth2 时资源服务器出现的权限问题
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1707
OAuth2 Resource Server
Spring oauth2 authorization server 0.4.2怎么配置
06-03
Spring oauth2 authorization server 0.4.2 的配置需要以下步骤: 1. 引入依赖:在 Maven pom.xml 文件添加以下依赖 ``` <groupId>org.springframework.security <artifactId>spring-security-oauth2-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值