那些遇到过的问题

Spring Boot 2和迁移OAuth2配置

Sma*_*ajl 7 java spring-security spring-boot

我们正在将Spring Boot 1.5.7应用程序迁移到Spring Boot 2,我注意到它SecurityProperties.ACCESS_OVERRIDE_ORDER不再可用了.

我们正在使用@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER))强制某个安全配置过滤器的顺序,如果没有这个注释它就不能工作(由于安全过滤器的顺序错误,因此获得不同的状态).是否有一些替换或配置更改,以使其以旧方式工作?

我们有基本的auth + OAuth2.

这是我们使用的OAuth2依赖项:

compile group: 'org.springframework.security.oauth', name: 'spring-security-oauth2', version: '2.1.0.RELEASE'
Run Code Online (Sandbox Code Playgroud)

编辑:这是我的WebSecurity属性:

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  private static final String LOGIN = "/login";
  private static final String LOGOUT_SUCCESS = "/login?logout";

  private final UserDetailsService userDetailsService;
  private final AuthenticationManager authenticationManager;

  public WebSecurityConfig(UserDetailsService userDetailsService, @Lazy AuthenticationManager authenticationManager) {
    this.userDetailsService = userDetailsService;
    this.authenticationManager = authenticationManager;
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception {

    // @formatter:off
    http
      // enable cors
      .cors().and()
      .requestMatchers().antMatchers("/oauth/**", "/*").and()
      // These from the above are secured by the following way
      .authorizeRequests().antMatchers("/").permitAll()
      // These from the rest are secured by the following way
      .anyRequest().authenticated().and()
      // Set login page
      .formLogin().loginPage(LOGIN).permitAll().defaultSuccessUrl(PROFILE)
      // Set logout handling
      .and().logout().logoutSuccessUrl(LOGOUT_SUCCESS);
      // @formatter:on

  }

  @Override
  public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
  }

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.parentAuthenticationManager(authenticationManager);
    auth.userDetailsService(userDetailsService);
  }

}
Run Code Online (Sandbox Code Playgroud)

/user通过REST 访问时,我希望401 - Unauthorized没有有效的令牌.相反,我302 - Redirect to /login意味着基本身份验证具有更高的优先级.我不知道如何解决这个问题,因为我尝试使用的任何订单都不起作用.

Sma*_*ajl 2

所以,事实证明问题不在我的 WebSecurity 配置中,但它有点复杂。Spring Security 5 要求 clientSecret 默认使用 BCrypt 加密,而我缺少这一点。另外,添加AuthenicationManagerbean 解决了这个问题。

@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
           return super.authenticationManagerBean();
}
Run Code Online (Sandbox Code Playgroud)

我在github上有一个具有此功能的示例项目,但我将对其进行一些改进以修复一些其他问题。

归档时间:

查看次数:

4018 次

最近记录:

7 年,11 月 前
相关归档
如何在Java中将jsonString转换为JSONObject 388
ThreadLocal变量的性能 83
java.net.UnknownHostException:无法解析主机"<url>":没有与主机名关联的地址和字符0处的输入结束 61
如何解决Spring Boot Post请求中的403错误 20
包含spring.profiles.include的配置文件似乎覆盖而不是包含 16
Spring自定义身份验证过滤器和提供程序不调用控制器方法 9
Resilience4j - 请求超时 8
Vue SPA 与 Spring Boot,独立与否 6
我们什么时候需要多个 Dispatcher Servlet? 5
Spring Security 预认证账户锁检查 2
难疑归档
什么是正确的JSON内容类型? 9962
使用jQuery为复选框设置"选中"? 3988
如何使用CSS垂直居中文本? 2190
我怎样才能过渡高度:0; 高度:自动; 用CSS? 1985
如何调试Node.js应用程序? 1531
为什么我需要一直做`--set-upstream`? 1364
vim"用sudo写"技巧如何工作? 1347
在Python中反转一个字符串 1288
使用pip安装特定的软件包版本 1199
如何从"Bobby Tables"XKCD漫画中注入SQL? 1070