那些遇到过的问题

Spring Security OAuth2:InsufficientAuthenticationException

Neo*_*Neo 2 spring-security spring-security-oauth2

首先,我禁用了基本身份验证:

security.basic.enabled=false
Run Code Online (Sandbox Code Playgroud)

然后,我访问授权页面:

http://localhost:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
Run Code Online (Sandbox Code Playgroud)

我得到以下异常:

org.springframework.security.authentication.InsufficientAuthenticationException: User must be authenticated with Spring Security before authorization can be completed.
    at org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint.authorize(AuthorizationEndpoint.java:138) ~[spring-security-oauth2-2.0.10.RELEASE.jar:na]
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) ~[na:1.8.0_45]
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) ~[na:1.8.0_45]
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) ~[na:1.8.0_45]
    at java.lang.reflect.Method.invoke(Method.java:497) ~[na:1.8.0_45]
    at org.springframework.web.method.support.InvocableHandlerMethod.doInvoke(InvocableHandlerMethod.java:221) ~[spring-web-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:136) ~[spring-web-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:110) ~[spring-webmvc-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandlerMethod(RequestMappingHandlerAdapter.java:832) ~[spring-webmvc-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:743) ~[spring-webmvc-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:85) ~[spring-webmvc-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:961) ~[spring-webmvc-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:895) ~[spring-webmvc-4.2.7.RELEASE.jar:4.2.7.RELEASE]
    at ...
Run Code Online (Sandbox Code Playgroud)

我不明白为什么必须先进行OAuth身份验证?

sof*_*ang 5

授权代码授予的流程如下所示:

  1. 客户端将用户重定向到身份验证服务器的授权页面。因此http://localhost:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
  2. 如果用户已经登录,则将立即向用户显示一个授权页面,他可以在其中批准授权请求。如果用户尚未登录,则应首先将其重定向到登录页面以进行身份​​验证,以使Spring Security知道是谁在授予授权。

您可能需要做的是通过要求在xml中授予以下角色来保护授权端点:

<security:http disable-url-rewriting="true"
               use-expressions="true"
               entry-point-ref="loginEntryPoint">
    ...

    <security:intercept-url pattern="/oauth/authorize" access="hasRole('ROLE_USER')"/>
    ...
</security:http>
Run Code Online (Sandbox Code Playgroud)

如果用户尚未登录,这将触发Spring Security将用户重定向到您在中配置的登录名loginEntryPoint。通常,您会将用户重定向到登录页面。成功认证后,用户将返回到授权端点。

  • 我将授权服务器配置为使用JWT访问令牌进行身份验证,并使用登录过滤器创建令牌,并在向/ oauth / authorize端点发送请求时在标头中传递令牌。这样,我跳过使用会话,并且授权服务器是无状态的。 (2认同)

归档时间:

查看次数:

8232 次

最近记录:

9 年,4 月 前
相关归档
如何在access_token JWT中添加更多数据 11
使用Spring启动PreAuthorize和自定义AuthenticationFilter 8
Intellij IDEA 错误 - 无法自动装配。未找到“HttpSecurity”类型的 bean 8
Spring security DefaultHttpFirewall - requestURI不能包含编码斜杠 7
如何从Spring中的@RequestMapping中排除url映射? 6
使用Spring Security的会话管理:并发会话 5
Spring 安全中的 X-Frame DENY 5
SPRING BOOT配置Jasig CAS 3
使用Spring-Security PasswordEncoder和默认身份验证提供程序? 3
为什么Spring引导使用来自不同包的线程来处理请求? 3
难疑归档
如何检查jQuery中是否隐藏了一个元素? 7481
REST中的PUT与POST 5227
如何将命令行参数传递给Node.js程序? 2280
什么是NullReferenceException,我该如何解决? 1876
你如何在YAML中阻止评论? 1272
如何使用jQuery设置/取消设置cookie? 1209
在Python中检查类型的规范方法是什么? 1171
如何使用SSH在远程计算机上运行shell脚本? 1164
为什么使用Redux而不是Facebook Flux? 1126
JavaScript中的(内置)方式,用于检查字符串是否为有效数字 1051