Spring Boot 2.0.0 + OAuth2

Question

Spring Boot 2 + Sping Security OAuth2 是否仍然支持@AuthorizationServer 注解？通过阅读发行说明，有些东西还没有被移植：

Oauth2 Support

这里是我build.grade的相关部分：

身份验证服务器

// security
compile "org.springframework.boot:spring-boot-starter-security:${springBootVersion}"
// oauth
// https://mvnrepository.com/artifact/org.springframework.security.oauth/spring-security-oauth2
compile "org.springframework.security.oauth:spring-security-oauth2:2.2.1.RELEASE"

客户端服务器

// support for Oauth2 user token services not yet migrated into Spring Boot 2.0
compile "org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.0.1.BUILD-SNAPSHOT"

现在，当我尝试将客户端 ID 和客户端密码以 Basic Authentication 传递给 /oauth/token 时，我的授权服务器 Oauth2 端点只返回 401。传入用户名和密码会给出不同的代码路径。所以看起来 OAuth 过滤器没有完全排列好。

我也发现了这个：Spring Boot 2 OAuth2 starter changes。

是否有配置更新或者我需要一组不同的 gradle 依赖项来将授权服务器恢复到之前的状态？

谢谢！

---

更新

我想结束这个问题的循环。除了加密客户端机密。自 Spring OAuth 2.3.2 起，RedisTokenStore 问题也已得到解决：Spring OAuth 2.3.2

Answer 1

Spring Security 5 使用了现代化的密码存储，见OAuth2 Autoconfig：

如果您使用自己的授权服务器配置通过ClientDetailsServiceConfigurer的实例配置有效客户端列表如下所示，请注意您在此处配置的密码受Spring Security 5附带的现代化密码存储的约束.

要解决您的问题，请参阅Spring Security Reference：

疑难解答

当存储的密码之一没有“密码存储格式”一节中所述的 id 时，会发生以下错误。

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
     at org.springframework.security.crypto.password.DelegatingPasswordEncoder$UnmappedIdPasswordEncoder.matches(DelegatingPasswordEncoder.java:233)
     at org.springframework.security.crypto.password.DelegatingPasswordEncoder.matches(DelegatingPasswordEncoder.java:196)

解决该错误的最简单方法是切换为明确提供您的密码编码所用的PasswordEncoder。解决它的最简单方法是找出您的密码当前是如何存储的，并明确提供正确的PasswordEncoder。如果您从 Spring Security 4.2.x 迁移，您可以通过公开 NoOpPasswordEncoder bean 恢复到以前的行为。例如，如果您使用的是 Java 配置，则可以创建如下所示的配置：

恢复到NoOpPasswordEncoder 被认为是不安全的。您应该改为使用 DelegatingPasswordEncoder 来支持安全密码编码。

@Bean
public static NoOpPasswordEncoder passwordEncoder() {
    return NoOpPasswordEncoder.getInstance();
}

如果您使用 XML 配置，您可以公开一个带有 id passwordEncoder 的PasswordEncoder：

<b:bean id="passwordEncoder"
   class="org.springframework.security.crypto.NoOpPasswordEncoder" factory-method="getInstance"/>

或者，您可以在所有密码前加上正确的 ID，然后继续使用 DelegatingPasswordEncoder。例如，如果您使用 BCrypt，您可以从以下位置迁移您的密码：

$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG

到

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG

Answer 2

正如上面提到的@false_memories，使用 Spring Boot 2，您需要对您的秘密进行编码。在我的项目中，它看起来像：

public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    String secretEncoded = passwordEncoder().encode("secret");
    clients.inMemory().withClient("some-web-app").secret(secretEncoded).accessTokenValiditySeconds(expiration)
            .scopes("read", "write").authorizedGrantTypes("password", "refresh_token").resourceIds("resource");
}

Answer 3

OAuth2 AuthorizationServer 使用基本身份验证。

因此，您还需要在 AuthorizationServerConfig 中使用 delegatedPasswordEncoder 对您的客户端密码进行编码，以彻底解决“没有为 id "null" 映射 PasswordEncoder ”异常。

姚刘的回答解决了我的问题。

1) 创建了一个 bean 来自动连接 PasswordEncoder；

@Bean
public PasswordEncoder passwordEncoder() {
    String idForEncode = "bcrypt";
    Map<String, PasswordEncoder> encoderMap = new HashMap<>();
    encoderMap.put(idForEncode, new BCryptPasswordEncoder());
    return new DelegatingPasswordEncoder(idForEncode, encoderMap);
}

2) AuthorizationServerConfig 类中的自动有线密码编码器；

@Autowired
private PasswordEncoder passwordEncoder;

3) 使用 passwordEncoder 对 CLIENT_SECRET 进行编码。

@Override
public void configure(ClientDetailsServiceConfigurer configurer) throws Exception {
    configurer
         .inMemory()
         .withClient(CLIENT_ID)
         .secret(passwordEncoder.encode(CLIENT_SECRET))
         .authorizedGrantTypes(GRANT_TYPE_FOR_LOGIN, GRANT_TYPE_FOR_REFRESH)
         .scopes(SCOPE_READ, SCOPE_WRITE)
         .accessTokenValiditySeconds(TOKEN_VALIDITY_SECONDS)
         .refreshTokenValiditySeconds(TOKEN_VALIDITY_SECONDS)
         .resourceIds(RESOURCES_IDS);
}

就是这样。

Answer 4

我想结束这个问题的循环。除了加密客户端机密。自 Spring OAuth 2.3.2 起，RedisTokenStore 问题也已得到解决：Spring OAuth 2.3.2