2

私はSpringSecurityとOauthを初めて使用し、パス「/api」内のリソースへのアクセスをOauth2で保護する簡単な例を設定しようとしています。spring-security-oauth2-1.0.0.RC2を使用しています。構成を処理してしばらくすると、トークンを取得できますが、「/ api」リソースにリクエストを送信しようとすると、2つの質問に直面します。

  • 最初は、「OAuth2」プレフィックスが付いた認証ヘッダーを送信していますが、spring-security-oauth2は、トークンに「Bearer」プレフィックスが付いたヘッダーを見つける必要があるようです。これらのトークンの違いは何ですか?

  • Springがトークンを検証した後、「ExceptionTranslationFilter-アクセスが拒否されました(ユーザーは匿名ではありません)」というセキュリティエラーが発生し、この問題が発生します。InMemoryトークンストアを使用しているため、クライアントを認証するために毎回ログインする必要があり、このエラーが発生します。スプリングの構成は次のとおりです。

<http pattern="/api/**" create-session="never" entry-point-ref="oauthAuthenticationEntryPoint"
    access-decision-manager-ref="accessDecisionManager" xmlns="http://www.springframework.org/schema/security">
    <anonymous enabled="false" />
    <intercept-url pattern="/api/**" access="ROLE_CLIENT,SCOPE_READ" />
    <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
    <access-denied-handler ref="oauthAccessDeniedHandler" />
</http>

<http disable-url-rewriting="true" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/oauth/**" access="ROLE_USER" />
    <!--intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" /-->
    <form-login/>
    <logout logout-success-url="/index.jsp" logout-url="/logout" />
</http>

<bean id="oauthAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
    <property name="realmName" value="O2Server" />
</bean>

<bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />

<bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
    <property name="authenticationManager" ref="clientAuthenticationManager" />
</bean>

<bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased" xmlns="http://www.springframework.org/schema/beans">
    <constructor-arg>
        <list>
            <bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />
            <bean class="org.springframework.security.access.vote.RoleVoter" />
            <bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
        </list>
    </constructor-arg>
</bean>

<authentication-manager id="clientAuthenticationManager" xmlns="http://www.springframework.org/schema/security">
    <authentication-provider user-service-ref="clientDetailsUserService" />
</authentication-manager>

<authentication-manager alias="authenticationManager" xmlns="http://www.springframework.org/schema/security">
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER" />
        </user-service>
    </authentication-provider>
</authentication-manager>

<bean id="clientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
    <constructor-arg ref="clientDetails" />
</bean>

<bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.InMemoryTokenStore" />

<bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
    <property name="tokenStore" ref="tokenStore" />
    <property name="supportRefreshToken" value="true" />
    <property name="clientDetailsService" ref="clientDetails"/>
</bean>

<bean id="userApprovalHandler" class="org.o2server.security.O2ServerUserApprovalHandler">
    <property name="tokenServices" ref="tokenServices" />
</bean>

<oauth:authorization-server client-details-service-ref="clientDetails" token-services-ref="tokenServices" user-approval-handler-ref="userApprovalHandler">
    <oauth:authorization-code />
    <oauth:implicit />
    <oauth:refresh-token />
    <oauth:client-credentials />
    <oauth:password />
</oauth:authorization-server>

<oauth:resource-server id="resourceServerFilter" resource-id="O2Server" token-services-ref="tokenServices" />

<oauth:client-details-service id="clientDetails">
    <oauth:client client-id="O2Client" resource-ids="O2Server" authorized-grant-types="authorization_code,refresh_token,implicit"
        authorities="ROLE_CLIENT" scope="read,write" secret="secret" />
</oauth:client-details-service>

<oauth:web-expression-handler id="oauthWebExpressionHandler" />

これはサーバーからのログです。

11:58:30.366 [DEBUG] FilterSecurityInterceptor - Secure object: FilterInvocation: URL: /api/user/; Attributes: [ROLE_CLIENT, SCOPE_READ]
11:58:30.366 [DEBUG] FilterSecurityInterceptor - Previously Authenticated: org.springframework.security.oauth2.provider.OAuth2Authentication@48a94464: Principal: org.springframework.security.core.userdetails.User@346448: Username: paul; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_USER; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails@43794494; Granted Authorities: ROLE_USER
11:58:30.366 [DEBUG] UnanimousBased - Voter: org.springframework.security.oauth2.provider.vote.ScopeVoter@4e857327, returned: 0
11:58:30.366 [DEBUG] UnanimousBased - Voter: org.springframework.security.access.vote.RoleVoter@1b4b2db7, returned: -1
11:58:30.367 [DEBUG] ExceptionTranslationFilter - Access is denied (user is not anonymous); delegating to AccessDeniedHandler <org.springframework.security.access.AccessDeniedException: Access is denied>org.springframework.security.access.AccessDeniedException: Access is denied
    at org.springframework.security.access.vote.UnanimousBased.decide(UnanimousBased.java:90)

アドバイスをお願いします。

前もって感謝します。

4

2 に答える 2

2

私は oauth プラグインを使用したことがありませんが、デバッグ出力を読むと、-1 が返されたと言えます。RoleVoterこれは、によってアクセスが拒否されたことを意味しますDecisionVoter。によって保護されているROLE_USERurl にアクセスしようとしているプリンシパルにのみ付与されていることがわかります。それがアクセスが拒否された理由です。/api/user/[ROLE_CLIENT, SCOPE_READ]

ROLE_CLIENT および SCOPE_READ を principal または change に付与します<intercept-url pattern="/api/**" access="ROLE_CLIENT,SCOPE_READ" />

于 2012-08-22T20:59:39.900 に答える
1

Xaerxess が言ったように、intercept-url アクセス プロパティを ROLE_USER に変更する必要があります。

<intercept-url pattern="/api/**" access="ROLE_CLIENT,SCOPE_READ" />


<intercept-url pattern="/api/**" access="ROLE_USER,SCOPE_READ" />

アクセス プロパティは、ユーザーの役割(クライアントが代わりに動作する役割) を制御します。

タグの状態の権限(ROLE_CLIENT) プロパティのドキュメント<oauth:client>:

クライアントに付与される権限 (コンマ区切り)。クライアントが代行しているユーザーに付与された権限とは異なります。

また、ユーザー Dave Syer によると:

Tonr を変更していない場合は、クライアントとして機能しておらず、(必要な ROLE_CLIENT を持たない) ユーザーの代わりに機能しているため、403 が返されることが予想されます。 tonr からのリクエストが特定のロールを持つクライアントからのものであるというアサーション (アプリを変更しない) には、「oauthClientHasRole('ROLE_CLIENT') and hasScope('trust')」などの式を使用できます。

ソース: http://forum.springsource.org/showthread.php?125468-confusing-between-ROLE_USER-ROLE_CLIENT

于 2012-09-25T07:42:45.940 に答える