問題タブ [spring-security-rest]

複数の地域に分散された複数のデータソースを使用しています。各データソースは、ロール、トークンなどのセキュリティ関連データを含む、地域のすべてのユーザーに関連するすべてのデータを処理することを目的としています。セキュリティ関連のすべての情報を 1 つのデータソースに含めることはできません。

Grails の Spring セキュリティ レスト プラグインはこの設定をサポートしていますか? 私が理解していることから、常にすべての認証関連テーブルのデフォルトのデータソースを調べ、すべてのトークンをデフォルトのデータソースだけに保存​​します。

誰かがこれを確認できますか？プラグインが複数のデータソースをサポートしている場合、どのように機能させるのですか?

私たちの環境: Grails 2.4.4 Spring security rest plugin 1.5.3 Spring security core 2.0-RC4 Postgresql 9.5

grails フレームワーク (2.5.0) で Spring Security Plugin (2.0.0) と Spring Authentication Rest Plugin (1.5.3) を使用してトークン ベースの認証を実装しようとしています。ヘッダー フィールド「x-auth-token」をトークンに設定し、ターゲット コントローラー URL に投稿します。ただし、IDE (Intellij IDEA) はこのエラー メッセージを表示します。

この loadUserByToken() メソッドを確認したところ、tokenStorageService で呼び出されます。この tokenStorageService が null オブジェクトである理由がわかりません。Spring Security と Spring Security Plugin は次のように構成されています。

Config.groovy

resources.groovy

データベースを確認したところ、トークンは authentication_token テーブルに保存されています。私はgrailsを初めて使用し、何時間も検索してきましたが、まったく手がかりがありません。誰でも私を助けることができますか？とても有難い。

他に何か必要な場合は、お知らせください。

http://alvarosanchez.github.io/grails-angularjs-springsecurity-workshop/のチュートリアルに従って、grails 3.2.0.M2 と angularjs プロファイルを実行しようとしています。

build.gradle には次のものがあります

私のapplication.groovyには次のようなものがあります

複数の JavaScript を変更する必要があると思われるため、意図的に「/api/**」プレフィックスを使用していません。

正常にサインインしてトークンを取得することはできますが、その後、多くのアクションが 403 ステータスを返します。例えば

反対に、トークンをまったく必要としないリクエストもあります。たとえば、次のように、トークンがなくても機能します。

最後に、残りのクライアントからのリクエストで 、Web サイトをステートレスにすることにあまり関心がありません。すべての grails 3 コントローラーを statful にして、単に spring-security-core を使用する方法はありますか?

Spring セキュリティを使用して REST API の基本的な例を機能させようとしています。Grails プラグイン spring-security-rest:2.0.0.M2 を使用しています

この優れたチュートリアルに従おうとしましたが、スコープが不十分であるというエラーが発生しました。

単一の役割 ADMIN_ROLE を定義しています。ログインに成功した後、access_token を取得しています

@Secured(['ROLE_ADMIN'])ProjectController クラスにタグを追加しました。

私の UrlMappings は ProjectController を指しています: パッケージ dk.mathmagicians.demo

次のようにフィルターを使用して application.groovy ファイルを構成しました

API を呼び出そうとすると ($TOKEN は環境変数であり、テスト目的でトークンが保存されます)

スコープが不十分であるという 403 エラーが表示されます。

デバッグ ログを有効にしました。これは grails アプリケーションからの出力です。

私が間違っていることについてのアイデアはありますか? このエラーを解決するためのヒントはありますか?

ベストあがた

ProjectController と UrlMapping で質問を更新

私のアプリケーション設計は以下のようなものです:

ブラウザー---呼び出し----> Web マイクロサービス----呼び出し---> REST マイクロサービス

REST クライアント --calls --> REST マイクロ サービス。

アプリケーションがユーザー/セッション/クライアントを認証し、下線付きのマイクロサービスでユーザーに関する情報を再利用するためのエントリ ポイントとしてスプリング セキュリティを使用したいと考えました。そのためのセキュリティサービスを考えていました。

ブラウザ -->セキュリティ サービス----> Web マイクロサービス ----> REST マイクロサービス

REST クライアント ---->セキュリティ サービス----> REST サービス。

質問:

1. セキュリティ サービスは、ユーザーに関する必要な情報を他のサービスにどのように渡しますか?

2. Spring セキュリティを Web サービスおよび REST サービスに統合する必要がある場合、REST マイクロ サービスが Web サービスによって呼び出された場合、または REST クライアントによって直接呼び出された場合、トークンの検証はどのように機能しますか?

3. 質問 2 の JWT トークンを生成する際のクライアント ID と秘密鍵は何ですか?

注:すべてのサービスは同じデータベースにアクセスできます

Grails 3 でSpring Security Rest プラグインを使用していますが、フィルターチェーンに問題があります。

私が達成したいのは、セキュリティ コンテキストが初期化されているが、匿名アクセスが引き続き可能であることです。

私のフィルターチェーンは

しかし、アプリケーションの起動時にエラーが発生します

チェックしたところ、プラグインに RestTokenValidationFilter クラスが含まれているため、Bean が見つからない理由がわかりません。

この問題を解決するために、クラスをresource.groovyファイルに追加しようとしましたが、それでも機能しません。

私のフィルターチェーンに問題がありますか、それとも他に何か不足していますか?

Spring JWT プロジェクトと Spring Rest サービスが別々にデプロイされています。Spring JWT サービスを呼び出して、認証と承認を行う必要があります。私はこれに慣れていませんが、よく理解しています。これを達成する方法を考えている人。

注: Java ベースの構成を使用する Spring 4.x、Spring Security 4.x、および Hibernate 5.x