SpringCloud OAuth2资源服务器解决Full authentication,自定义返回异常信息,以及资源服务器忽略验证url,实现自定义登录获取认证服务器的token

最新推荐文章于 2023-07-15 10:19:16 发布
最新推荐文章于 2023-07-15 10:19:16 发布
阅读量7.6k 收藏 13
点赞数 3
分类专栏: 挖坑踩坑 spring cloud security 文章标签: oauth2 SpringCloud SpringSecurity java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzgd_666/article/details/107321257
版权

SpringCloud OAuth2资源服务器解决Full authentication,自定义返回异常信息,以及资源服务器忽略验证url,实现自定义登录获取认证服务器的token

Full authentication 问题

标题比较长, 我先说我想达到的效果:

资源服务器A想接入到oauth认证服务器B, 但是A已经有一套登录机制了, 现在希望让A登录后获取到B发放的token

自定义登录Controller

可以通过Oauth框架自带的OAuth2RestTemplate方便的调用认证服务中心, 获取我们要的的token
登录接口是 localhost:8080/auth/loginlocalhost:8080/auth/login/sms


import com.alibaba.fastjson.JSON;
import com.zgd.springcloud.oauth.app.goods.dto.UserLoginParam;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.security.oauth2.OAuth2ClientProperties;
import org.springframework.security.oauth2.client.OAuth2RestTemplate;
import org.springframework.security.oauth2.client.token.grant.password.ResourceOwnerPasswordAccessTokenProvider;
import org.springframework.security.oauth2.client.token.grant.password.ResourceOwnerPasswordResourceDetails;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.web.bind.annotation.*;




@RestController
@RequestMapping("/auth")
public class UserController {

    @Autowired
    private OAuth2ClientProperties oauth2ClientProperties;

//    @Autowired
//    private DefaultTokenServices tokenServices;



    @Value("${security.oauth2.client.access-token-uri}")
    private String accessTokenUri;




    /**
     * 模拟客户端这边自己的用户名密码登录, 然后到认证中心换取token
     * 用户登录
     * @param userLoginParam
     * @return
     */
    @PostMapping("/login")
    public String login(@RequestBody UserLoginParam userLoginParam){

        if(userLoginParam.getUserName().equals("zgd") && userLoginParam.getUserPwd().equals("123")){
            //1. 用户登录成功
            String format = String.format("用户%s登录成功", userLoginParam.getUserName());
            System.out.println(format);
            //2. 获取token 扮演oauth2的客户端, 调用授权服务器的 /oauth/token 接口,使用密码模式进行授权,获得访问令牌。
            final OAuth2AccessToken accessToken = getOAuth2AccessToken(userLoginParam);

            return JSON.toJSONString(accessToken);

        }
        return "登录不成功";
    }

    /**
     * 模拟客户端这边自己的手机验证码登录, 然后到认证中心换取token
     * 用户登录
     * @param userLoginParam
     * @return
     */
    @PostMapping("/login/sms")
    public String loginSms(@RequestBody UserLoginParam userLoginParam){
        if(userLoginParam.getMobile().equals("13000001111") && userLoginParam.getVerifyCode().equals("123")){
            //1. 用户登录成功
            String format = String.format("用户%s登录成功", userLoginParam.getUserName());
            System.out.println(format);
            //2. 获取token 扮演oauth2的客户端, 调用授权服务器的 /oauth/token 接口,使用密码模式进行授权,获得访问令牌。
            final OAuth2AccessToken accessToken = getOAuth2AccessToken(userLoginParam);
            return JSON.toJSONString(accessToken);
        }
        return "登录不成功";
    }




    private OAuth2AccessToken getOAuth2AccessToken(@RequestBody UserLoginParam userLoginParam) {
        // <1> 创建 ResourceOwnerPasswordResourceDetails 对象
        ResourceOwnerPasswordResourceDetails resourceDetails = new ResourceOwnerPasswordResourceDetails();
        resourceDetails.setAccessTokenUri(accessTokenUri);
        resourceDetails.setClientId(oauth2ClientProperties.getClientId());
        resourceDetails.setClientSecret(oauth2ClientProperties.getClientSecret());
        //这里是资源服务器登录成功后,查询得到的用户名密码
        resourceDetails.setUsername("zzzgd");
        resourceDetails.setPassword("123456");
        // <2> 创建 OAuth2RestTemplate 对象
        OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails);
        restTemplate.setAccessTokenProvider(new ResourceOwnerPasswordAccessTokenProvider());
        // <3> 获取访问令牌
        return restTemplate.getAccessToken();
    }


    /**
     * 用户注销登出
     * @param token
     * @return
     */
    @PostMapping("/logout")
    public String logout(@RequestParam("token")String token){
//        tokenServices.revokeToken(token);

        return "ok";
    }


}

webSecurity配置类:

于是我想将上面两个地址放开, 忽略SpringSecurity的校验

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {


  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.headers()
            .and()
            .authorizeRequests()
            .antMatchers("/auth/login/**", "/auth/logout/**", "/").permitAll()
            .anyRequest().authenticated()

            .and()
            .csrf().disable();
  }

}

首先看下我最初瞎弄得到的结果:

This XML file does not appear to have any style information associated with it. The document tree is shown below.
<oauth>
<error_description>
Full authentication is required to access this resource
</error_description>
<error>unauthorized</error>
</oauth>

在这里插入图片描述
相信这也是大多数人看到的页面, 一个xml返回提示.

SpringSecurity的配置没生效? 其实是因为Oauth2中, 除了SpringSecurity的过滤器校验登录信息, 还有Oauth会校验.

我看了网上有种做法, 就是将WebSecurityConfigurerAdapter 基础security校验加上@Order, 将其顺序提前到Oauth之前.

这种做法虽然可以让我正常访问localhost:8080/auth/login了(这个接口我只是单纯的获取了token,并没有在资源服务器实际登录生成session信息), 但是又有问题,我得到了token放到请求头中,请求资源还是会报Access denied,这是因为基础security校验提前了,Oauth2还没校验token,就直接被基础校验判定没登录返回了。

资源忽略验证url

加上这个配置

package com.zgd.springcloud.oauth.app.goods.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

@Configuration
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {




  @Override
  public void configure(HttpSecurity http) throws Exception {

    http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
    http.authorizeRequests()
            .antMatchers("/auth/login/**", "/auth/logout/**", "/").permitAll()
            .anyRequest()
            .authenticated();
  }


}

这个配置相比上面的WebSecurityConfigurerAdapter, 它的permitAll会同时对基础security生效, 也会对Oauth2生效.

自定义返回异常信息

还是ResourceServerConfiguration这个配置.

实现AuthenticationEntryPoint

这个是在token判定不通过的时候调用的方法

package com.zgd.springcloud.oauth.app.goods.config;

import com.alibaba.fastjson.JSON;
import org.apache.http.entity.ContentType;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

/**
 *
 */
@Component
public class AuthExceptionEntryPoint implements AuthenticationEntryPoint {


  @Override
  public void commence(HttpServletRequest request, HttpServletResponse response,
                       AuthenticationException authException)
          throws ServletException {

    try {
      Map<String, String> map = new HashMap();
      map.put("error", "401");
      map.put("message", "token过期,请重新登陆");
      map.put("path", request.getServletPath());
      map.put("timestamp", String.valueOf(System.currentTimeMillis()));

      response.setContentType(ContentType.APPLICATION_JSON.toString());
      response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
      response.getWriter().write(JSON.toJSONString(map));
    } catch (Exception e) {
      throw new ServletException();
    }
  }

}

实现AccessDeniedHandler

这个是在权限不足的时候调用的方法

package com.zgd.springcloud.oauth.app.goods.config;

import com.alibaba.fastjson.JSON;
import org.apache.http.entity.ContentType;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {


    @Override

    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {


        Map<String, Object> map = new HashMap<>();

        map.put("code", HttpServletResponse.SC_UNAUTHORIZED);
        map.put("msg", "权限不足");

        response.setContentType(ContentType.APPLICATION_JSON.toString());
        response.setStatus(HttpServletResponse.SC_OK);
        response.getWriter().write(JSON.toJSONString(map));

    }

}

继承ResourceServerConfigurerAdapter

配置configure方法

package com.zgd.springcloud.oauth.app.goods.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

@Configuration
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {


  @Autowired
  AuthExceptionEntryPoint authExceptionEntryPoint;

  @Autowired
  CustomAccessDeniedHandler customAccessDeniedHandler;


  @Override
  public void configure(HttpSecurity http) throws Exception {

    http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
    http.authorizeRequests()
            .antMatchers("/auth/login/**", "/auth/logout/**", "/").permitAll()
            .anyRequest()
            .authenticated();
  }

  @Override
  public void configure(ResourceServerSecurityConfigurer resources) {
    resources.authenticationEntryPoint(authExceptionEntryPoint)
            .accessDeniedHandler(customAccessDeniedHandler);
  }
}

效果:
在这里插入图片描述

在这里插入图片描述

zzzgd816
关注
专栏目录
异常SpringSecurity登录失败:Full authentication is required to access this resource
本本本添哥
01-07 6400
【项目】SpringSecurity登录失败:Full authentication is required to access this resource
SpringCloud系列——13Spring Cloud 开放认证Oauth2.0应用
Eclipse_2019的博客
07-18 1140
统一认证与授权——Oauth2.0开放授权平台
屏蔽Full authentication is required to access this resource
dl348的博客
03-05 6万+
springboot环境下,用postman调试接口,一直正常,今天突然出现以下错误:{  "timestamp": "2018-03-05 14:43:45",  "status": 401,  "error": "Unauthorized",  "message": "Full authentication is required to access this resourc
异常解决】postman请求提示Full authentication is required to access this resource
最新发布
weixin_64854388的博客
07-15 1695
异常解决】postman请求提示Full authentication is required to access this resource
Full authentication is required to access this resource
08-08 1万+
Springcloud中的框架config中,客户端在配置文件中心变更配置文件后,需要post调用系统的refresh方法,返回错误 "timestamp": 1495094396984, "status": 401, "error": "Unauthorized", "message": "Full authentication is required to access thi
Full authentication is required to access this resource Unauthorized
fwk19840301的博客
10-12 7796
原因:swagger测试报错 Full authentication is required to access this resource Unauthorized 解决方法: 在yml文件中配置 security: basic: enabled: false idea会报错:Deprecated: The security auto-configu...
解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题
qq_38226693的博客
07-31 2125
解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题问题描述项目工程源码分析解决方案1,修改源码2,添加新的子类实现,并作为新bean注入总结 问题描述 当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token获取到了用户B的用户信息,B用户相反而之。 项目工程 代码使用了redis 作为token 存储,资源服务器通过配置 security: oauth2: resource: us
从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (上)
峡谷电光马仔的博客
01-18 2687
从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (上)
Spring Security Oauth2 自定义 OAuth2 Exception
xy5489的博客
12-24 306
在使用登录和鉴权失败时,默认返回异常信息如下}。它与我们自定义返回信息不一致,并且描述信息较少。那么如何自定义异常信息呢,下面我们简单实现以下。{"message": "坏的凭证",}添加自定义异常类,指定json序列化方式}}自定义用于tokan校验失败返回信息}}}
Spring Cloud OAuth2(基于JWT)的微服务认证授权实战
Trazen的专栏
07-21 1337
文章目录1.简介1.1解决方案1.2案例工程架构2.构建auth-server工程2.1添加maven依赖2.2创建数据表2.3 添加配置2.4 自定义UserDetailsService2.5 认证授权配置2.6 扩展token增强器TokenEnhancer2.7 认证授权服务器配置2.8 认证授权服务器测试3.构建auth-client工程3.1 添加maven依赖3.2 重写token解析器3.3 解决Feign接口调用Token传递问题3.4 资源服务器配置4.构建资源服务器应用user-serv
Full authentication is required to access this resource Unauthorized
热门推荐
希望能找到你的答案
11-13 28万+
Full authentication is required to access this resource Unauthorized
postman请求提示Full authentication is required to access this resource
zh_chong的博客
04-23 6万+
postman请求提示Full authentication is required to access this resource 显然这个是没有获取登录信息,即是没有用户登录,没有登录就肯定没有对应的权限了,目前实际的一个解决办法如下: springcloud项目是有网关的,在这里需要把访问路径中的端口号修改为网关中的端口号,我的是9999 其次就是需要获取登录token,那么可...
Full authentication is required to access this resource(/bus/refrsh)
んυز的博客
07-06 378
1.config客户端引入依赖 spring-cloud-starter-bus-amqp 2.bootstrap.yml里配置rabbitmq的host,passwor等等 然后发现访问bus/refresh报错: 解决:把健康监控的映射全暴露就好 post一下: 配置自动更新完成 ...
Actuator full authentication is required to access this resource
qq_38844636的博客
08-03 1147
配置spring-boot-actuator时候遇到的一些小问题 https://www.jianshu.com/p/b0b40038bb93    
Postman: “Full authentication is required to access this resource“
CodingGirl_的博客
08-23 405
因为 postman 中的 Authorization 过期了,需要重新获取
HTTP Status 401 - Full authentication is required to access this resource
盲目的拾荒者的博客
11-21 8304
Postman发请求 网关------》A服务    携带JWT做认证ok 网关------》B服务    携带JWT做认证OK, 网关------》A服务----Feign(调用)-----》B服务  Full authentication is required to access this resource 分析: a.因为Feign在服务之间相互调用如果需要认证,需要实现Request...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值