带有 client_credentials 错误的 Oaut2RestTemplate（不允许匿名）

Question

带有 client_credentials 错误的 Oaut2RestTemplate（不允许匿名）

11t*_*ion 5 java spring spring-security spring-boot spring-oauth2

我正在尝试使用ResourceServerConfigurerAdapter（使用 Oauth2 client_credentials）访问受 Spring Security 保护的 Web 服务

以下是安全配置

//Micoservice 1
@Configuration
@EnableResourceServer
class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    @Autowired
    private Environment env;

    @Autowired
    private DummyUserFilter dummyUserFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterAfter(dummyUserFilter, LogoutFilter.class)
            .formLogin().disable()
            .httpBasic().disable()
            .csrf().disable()
            .antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/js/**", "/webjars/**").permitAll()
            .anyRequest()
                .authenticated();
    }
}

Run Code Online (Sandbox Code Playgroud)

此应用程序（微服务 1）将由另一个应用程序（微服务 2）使用Oauth2RestTemplate. 以下是Oauth2RestTemplate配置。

//MicroService 2
@Configuration
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate() {
        ClientCredentialsResourceDetails resourceDetails = new ClientCredentialsResourceDetails();
        resourceDetails.setAccessTokenUri("https://<UAA>/oauth/token");
        resourceDetails.setClientId("#####");
        resourceDetails.setClientSecret("#####");
        resourceDetails.setGrantType("client_credentials");
        resourceDetails.setTokenName("access_token");

        DefaultOAuth2ClientContext clientContext = new DefaultOAuth2ClientContext();

        OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails, clientContext);

        return restTemplate;
    }
}

Run Code Online (Sandbox Code Playgroud)

Microservice 2有各种使用 RestTemplate 访问受保护的 Web 服务的 Web 服务Microservice 1。

这总是导致以下异常

获取访问令牌需要身份验证（不允许匿名）

我搜索了这个错误，发现它被抛出了 AccessTokenProviderChain

这是来自github的相关代码的链接

https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/main/java/org/springframework/security/oauth2/client/token/AccessTokenProviderChain.java# L89

if (auth instanceof AnonymousAuthenticationToken) {
    if (!resource.isClientOnly()) {
        throw new InsufficientAuthenticationException(
                "Authentication is required to obtain an access token (anonymous not allowed)");
    }
}

Run Code Online (Sandbox Code Playgroud)

似乎它不允许匿名用户访问 Oauth2 令牌。

我无意用 Oauth2 保护客户端应用程序（微服务 2），我必须使用client_credentials它Oauth2RestTemplate，这是预先配置的。

如何阻止 Spring 阻止匿名用户访问令牌？

我已经尝试SecurityContextHolder在匿名用户的情况下使用虚拟身份验证进行填充，但没有成功。即使我确实这样做了，这似乎也是一种黑客行为。

Answer 1

Yas*_*mez 7

我遇到了同样的问题，并得出结论，AccessTokenProvider具有多个实现者的接口是罪魁祸首。默认情况下，OAuth2RestTemplate实例化AccessTokenProviderChain试图重用现有登录上下文的。但是，如果不存在这样的登录，这必然会失败。尝试

restTemplate.setAccessTokenProvider(new ResourceOwnerPasswordAccessTokenProvider());

Run Code Online (Sandbox Code Playgroud)

在你的工厂方法中。这使用拥有其凭据的令牌提供程序，并且根本不引用SecurityContextHolder其实现中的本地线程。

归档时间：	8 年，9 月前
查看次数：	1563 次
最近记录：	4 年，10 月前