Spring安全oAuth 2.0 (无效令牌不包含资源id (OAuth2-资源))
我使用spring-boot和Spring REST编写了一个简单的REST后端。终结点将由各种第三方应用程序使用&正在按预期工作。
现在,我想使用security和OAuth2.0来保护这些端点。
我计划使用外部OAuth 2.0授权服务器,这样我的rest-api-backend (spring引导应用程序)将充当资源服务器,并通过调用外部授权服务器的令牌内省端点来验证访问令牌。
每当客户端应用程序在授权头中使用访问令牌(使用机器到机器流中使用client_credentials授予类型从外部authz服务器获取的不透明承载令牌)调用我的client_credentials时,Spring总是抛出以下错误:
{
"error": "access_denied",
"error_description": "Invalid token does not contain resource id (oauth2-resource)"
}在进行了一些研究之后,通过以下方式将调用应用程序的客户端ID设置为资源ID,解决了这个问题:
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.tokenServices(tokenService());
resources.resourceId("5ght-6117-fdc6-8787-9017-20c784a9c03a");
// super.configure(resources);
}看起来,Spring根据资源ID中的值集验证来自令牌内省响应的aud声明。
我不能完全理解这一点,为什么春天会这样?
作为一个资源服务器,它应该简单地检查访问令牌是否有效,是否有正确的范围等等。
是Spring维护了一个允许客户的白名单吗?
在我的例子中,有多个客户机应用程序将访问rest-api-backend,那么如何存储它们的多个客户端ID呢?
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.2.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>spring-security-test</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>spring-security-test</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
<version>2.2.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>PS:我已经在这个话题上检查过许多类似的问题,但是找不到我在这里提出的问题的答案。
回答 1
Stack Overflow用户
发布于 2019-12-31 21:42:04
当客户端使用标识提供程序进行身份验证时,它可以选择包含资源标识符。当在标识提供程序上配置客户端时,通常可以选择要求资源标识符,如果客户端不提供资源标识符,该标识符将失败身份验证,或者为该客户端指定默认值的选项。
您正在构建一个资源服务器,并且可以为它分配任何标识符,只要它是身份提供程序的唯一标识。我通常使用服务的URL作为资源标识符。有时,我创建一个URN (例如,当我希望在不同的URN上使用相同的资源标识符时(就像我在开发环境、QA环境和生产环境之间一样),但是只有一个身份提供者。
听起来,您的身份提供者在没有提供一个用户的情况下正在使用受众,这是一个合理的默认,因为在您的情况下,您的资源服务既是受众又是资源。然而,情况并不总是如此。
考虑一下Facebook想要访问Gmail联系人的情况。在这个场景中,Gmail是资源,Facebook是受众。作为身份提供者,谷歌将询问用户是否希望允许Facebook访问他的联系人。如果用户授予访问权限(这只发生一次),Google将提供一个令牌。否则,身份验证将失败。
范围是一个不同的概念。资源提供者可以决定将资源中的可用数据分解为子部分;每个小节都有一个名称(或范围)。在上面的例子中,Gmail可以将联系人的数据分解为姓名、家庭地址、电话号码、电子邮件地址、twitter句柄等。当用户允许Facebook访问他的联系人列表时,他可以限制Facebook只访问姓名和电子邮件地址,从而禁止访问联系人的家庭地址、电话号码和twitter提要。应由资源提供者(即您的服务)强制执行此约束。
可以通过在上面的代码中将值设置为null来禁用Spring对资源标识符的验证。这是当Azure Active Directory是我的身份提供者时使用的。
resources.resourceId(null); // Disabled since Microsoft does not support resource ids.https://stackoverflow.com/questions/59543388
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号