Java Spring Security: 401 Nicht autorisiert für Token-OAuth2-Endpunkt

Question

Ich habe ein ziemlich einfaches Setup in meinem Spring Boot-Projekt. Ich versuche, OAuth2 einzurichten, um meine API zu schützen, aber es treten Probleme mit meinem /oauth/token Endpunkt. Mache entweder eine POST oder GET Anfrage an mein /oauth/token Endpunkt ergibt die folgende Antwort (mit einem 401 Unauthorized Statuscode):

{ "timestamp": "2018-09-17T16:46:59.961+0000", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/oauth/token" }

Dies ist meine Authorization Server-Konfiguration.

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.approval.UserApprovalHandler; import org.springframework.security.oauth2.provider.token.TokenStore; @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private TokenStore tokenStore; @Autowired private UserApprovalHandler userApprovalHandler; @Autowired @Qualifier("authenticationManagerBean") private AuthenticationManager authenticationManager; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client_id") .secret("secret") .authorizedGrantTypes("password", "authorization_code", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(600) .refreshTokenValiditySeconds(3600); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.tokenStore(this.tokenStore) .userApprovalHandler(this.userApprovalHandler) .authenticationManager(this.authenticationManager); } @Override public void configure(AuthorizationServerSecurityConfigurer security) { security.tokenKeyAccess("permitAll()") .checkTokenAccess("isAuthenticated()") .passwordEncoder(this.passwordEncoder); } }

Dies ist meine Ressourcenserverkonfiguration. Noch nichts Wichtiges:

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.TokenStore; public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Autowired private TokenStore tokenStore; @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.tokenStore(this.tokenStore); } }

Und zum Schluss meine Standardkonfiguration für die Websicherheit:

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.provider.ClientDetailsService; import org.springframework.security.oauth2.provider.approval.ApprovalStore; import org.springframework.security.oauth2.provider.approval.TokenApprovalStore; import org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler; import org.springframework.security.oauth2.provider.approval.UserApprovalHandler; import org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private ClientDetailsService clientDetailsService; @Autowired public void globalUserDetails(AuthenticationManagerBuilder builder) throws Exception { builder.inMemoryAuthentication() .withUser("user").password("password").roles("ADMIN") .and() .withUser("admin").password("password").roles("USER"); } @Override protected void configure(HttpSecurity security) throws Exception { security.csrf().disable() .anonymous().disable() .authorizeRequests() .antMatchers("/oauth/token").permitAll(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public TokenStore tokenStore() { return new InMemoryTokenStore(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(8); } @Bean @Autowired public UserApprovalHandler userApprovalHandler(TokenStore tokenStore) { TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler(); handler.setTokenStore(tokenStore); handler.setRequestFactory(new DefaultOAuth2RequestFactory(this.clientDetailsService)); handler.setClientDetailsService(this.clientDetailsService); return handler; } @Bean @Autowired public ApprovalStore approvalStore(TokenStore tokenStore) { TokenApprovalStore store = new TokenApprovalStore(); store.setTokenStore(tokenStore); return store; } }

Ich habe ziemlich viel mit verschiedenen Matcher-Mustern herumgespielt, um zu sehen, ob ich es zum Laufen bringen kann, aber ich hatte kein Glück. Ich führe dies in einem Root-Kontext und Servlet-Pfad auf http://localhost:8080.

Ich kann bestätigen, dass der Endpunkt in der Ausgabe zugeordnet ist, wenn Spring Boot ausgelöst wird und der Versuch, einen etwas anderen Endpunkt zu treffen, zu einem erwarteten Wert von 404 führt.

Jonathon · Accepted Answer

Es stellte sich heraus, dass ich den Endpunkt nicht richtig getroffen hatte. Ich habe alle meine Daten, einschließlich der Client-Anmeldeinformationen, über HTTP POST gesendet.

POST http://localhost:8080/oauth/token ... client_id=client_id&secret=secret&scope=read&grant_type=password&username=user&password=password

Ich musste HTTP Basic Auth verwenden, um meine Client-Anmeldeinformationen zu senden, anstatt sie zu veröffentlichen:

POST http://localhost:8080/oauth/token Authorization: Basic Y2xpZW50X2lkOnNlY3JldA== ... scope=read&grant_type=password&username=user&password=password

kingGarfield · Answer

versuchen Sie, Ihren Passwort-Encoder von Ihrer Klasse AuthorizationServerConfig mit diesem einfachen Encoder zu ändern (er verschlüsselt keine Passwörter).

private PasswordEncoder getPasswordEncoder() { return new PasswordEncoder() { public String encode (CharSequence charSequence) { return charSequence.toString(); } public boolean matches(CharSequence charSequence, String s) { return true; } }; }

hoffe es wird funktionieren.