Spring Security OAuth2 资源服务器总是返回无效的令牌答案

【问题标题】：Spring Security OAuth2 Resource Server Always Returning Invalid TokenSpring Security OAuth2 资源服务器总是返回无效的令牌
【发布时间】：2015-06-18 05:09:51
【问题描述】：

我正在尝试使用 Spring 库运行基本的内存 OAuth2 服务器。我一直在关注sparklr example。

我目前已经配置了服务器并且几乎一切正常，但是我无法从资源服务器访问我的受限资源。

我的测试工作流程：

访问 oauth 授权 URI 以启动 OAuth2 流程：http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client
重定向到登录页面：http://localhost:8080/server/login
使用代码参数处理批准并重定向到我配置的重定向页面：http://localhost:8080/client?code=HMJO4K
使用客户端 ID 和密钥以及授权类型和代码使用基本身份验证构造一个 GET 请求：http://localhost:8080/server/oauth/token?grant_type=authorization_code&code=HMJO4K
接收一个 access_token 并刷新令牌对象作为回报

{ 访问令牌：“f853bcc5-7801-42d3-9cb8-303fc67b0453” token_type: "承载者" refresh_token：“57100377-dea9-4df0-adab-62e33f2a1b49” 过期时间：299 范围：“读写” }
尝试使用 access_token 访问受限资源：http://localhost:8080/server/me?access_token=f853bcc5-7801-42d3-9cb8-303fc67b0453
收到无效的令牌回复

{ 错误：“invalid_token” error_description：“无效的访问令牌：f853bcc5-7801-42d3-9cb8-303fc67b0453” }
再次发布到令牌 uri 以刷新令牌：http://localhost:8080/server/oauth/token?grant_type=refresh_token&refresh_token=57100377-dea9-4df0-adab-62e33f2a1b49
接收新令牌

{ access_token：“ed104994-899c-4cd9-8860-43d5689a9420” token_type: "承载者" refresh_token：“57100377-dea9-4df0-adab-62e33f2a1b49” expires_in: 300 范围：“读写” }

我真的不确定我做错了什么，但似乎除了访问受限 uri 之外的所有内容都正常工作。这是我的配置：

@Configuration
public class Oauth2ServerConfiguration {

    private static final String SERVER_RESOURCE_ID = "oauth2-server";

    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            resources.resourceId(SERVER_RESOURCE_ID);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http
                .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and().requestMatchers()
                    .antMatchers("/me")
                .and().authorizeRequests()
                    .antMatchers("/me").access("#oauth2.clientHasRole('ROLE_CLIENT')")
            ;
        }
    }

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthotizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

        @Autowired
        private ClientDetailsService clientDetailsService;

        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory()
                .withClient("client")
                    .resourceIds(SERVER_RESOURCE_ID)
                    .secret("secret")
                    .authorizedGrantTypes("authorization_code", "refresh_token")
                    .authorities("ROLE_CLIENT")
                    .scopes("read","write")
                    .redirectUris("http://localhost:8080/client")
                    .accessTokenValiditySeconds(300)
                    .autoApprove(true)
            ;
        }

        @Bean
        public TokenStore tokenStore() {
            return new InMemoryTokenStore();
        }

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
            endpoints
                .tokenStore(tokenStore())
                .userApprovalHandler(userApprovalHandler())
                .authenticationManager(authenticationManager)
            ;
        }

        @Override
        public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
            oauthServer.realm("oauth");
        }

        @Bean
        public ApprovalStore approvalStore() throws Exception {
            TokenApprovalStore store = new TokenApprovalStore();
            store.setTokenStore(tokenStore());
            return store;
        }

        @Bean
        public UserApprovalHandler userApprovalHandler() throws Exception {
            TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
            handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));
            handler.setClientDetailsService(clientDetailsService);
            handler.setTokenStore(tokenStore());

            return handler;
        }
    }
}

是我遗漏了什么还是我处理不正确？任何帮助将不胜感激。

【问题讨论】：

经过更多测试，我仍然无法让它工作。不知何故，似乎 ResourceServer 没有加载正确的令牌存储或其他东西。我有一个令牌存储 bean，并将其自动连接到一个控制器中，该控制器将为我的客户端打印令牌，效果很好。我将相同的令牌存储 bean（使用唯一限定符）自动连接到自定义身份验证管理器中，但它在存储中找不到任何令牌。我真的不确定这是怎么可能的，除非某些东西是隐式会话范围的？？

标签： spring oauth spring-security

【解决方案1】：

您的第 6 步是错误的 - 不应在 URL 中发送访问令牌，因为这样很容易受到攻击。而不是 GET，使用 POST。

此外，我不明白你的第 1 步 - 你为什么调用 /oauth/authorize？当您尝试获取受保护的资源时，它应该隐式完成。我的意思是，您的流程应该从以下开始：

尝试使用 access_token 访问受限资源： http://localhost:8080/server/me

然后协商将在“幕后”开始：重定向到“/oauth/authorize”等。

此外，在第 8 步中，请注意您不是在请求“另一个访问令牌”，而是请求“刷新令牌”。好像您的访问令牌已过期。

注意：身份提供者和资源服务器应该共享tokenStore！在这里阅读：Spring Security OAuth2 pure resource server

HTH

【讨论】：

感谢您的回复。我在尝试访问资源服务器时尝试过 GET & POST。我已经尝试以查询参数、表单数据和标题Authorization: Bearer <token> 的形式发送，在每种情况下，我都会继续收到“无效令牌”响应。我已经设置了一些调试端点来按客户端和用户转储当前令牌，并且我的令牌在两个列表中。
资源服务器必须知道如何解析令牌...你写的是受保护的资源吗？
资源只是一个spring-mvc端点设置，通过@RequestMapping("/me") @ResponseBody public String me() { return "hello";}返回一个json字符串。 org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter 拒绝令牌。自发布以来，我尝试在ResourceServerSecurityConfirer 的配置中添加对TokenStore 和TokenServices bean 的引用，但两者均无效。
尝试在 ResourceServerTokenServices.loadAuthentication() 中停止（断点） - 你到了吗？
确实如此。身份提供者和资源服务器应该共享 tokenStore。

【解决方案2】：

问题最终是资源服务器和授权服务器没有获得相同的令牌存储引用。不确定接线是如何工作不正常的，但在配置类中使用固定对象就像一个魅力。最终，我将转向持久性支持的令牌存储，这可能不会有任何问题。

感谢@OhadR 的回答和帮助！

最终，我简化了配置，通过相同的工作流程，结果成功了

@Configuration
public class Oauth2ServerConfiguration {

    private static final String SERVER_RESOURCE_ID = "oauth2-server";

    private static InMemoryTokenStore tokenStore = new InMemoryTokenStore();


    @Configuration
    @EnableResourceServer
    protected static class ResourceServer extends ResourceServerConfigurerAdapter {

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
            resources.tokenStore(tokenStore).resourceId(SERVER_RESOURCE_ID);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.requestMatchers().antMatchers("/me").and().authorizeRequests().antMatchers("/me").access("#oauth2.hasScope('read')");
        }
    }

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthConfig extends AuthorizationServerConfigurerAdapter {

        @Autowired
        private AuthenticationManager authenticationManager;


        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
            endpoints.authenticationManager(authenticationManager).tokenStore(tokenStore).approvalStoreDisabled();
        }

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients.inMemory()
                .withClient("client")
                    .authorizedGrantTypes("authorization_code","refresh_token")
                    .authorities("ROLE_CLIENT")
                    .scopes("read")
                    .resourceIds(SERVER_RESOURCE_ID)
                    .secret("secret")
            ;
        }
    }
}

任何偶然发现这篇文章的人，我建议更多地查看单元测试，而不是完整的 sparklr/tonr 示例，因为它有很多额外的配置，不一定需要开始。

【讨论】：

感谢您发布此问题和答案。它有助于我自己对此的研究。不过，您应该将 OhadR 的回答标记为正确答案，因为他引导您得出正确的结论。
我注意到您的回答涉及AuthorizationServerConfigurerAdapter。我在 Spring OAuth2 应用程序中收到 org.springframework.security.oauth2.provider.NoSuchClientException 错误，这似乎是由我的 AuthorizationServerConfigurerAdapter 引起的。你愿意看看吗？这是链接：stackoverflow.com/questions/36899386/…
如果您愿意就其他问题给我提示，我在线。不知道从哪里开始。

【解决方案3】：

这对我有用：

@Configuration
public class Oauth2ServerConfiguration {

    private static final String SERVER_RESOURCE_ID = "oauth2-server";

    @Autowired
    private TokenStore tokenStore;

    @Bean
    public TokenStore tokenStore() {
        return new InMemoryTokenStore();
    }

    @Configuration
    @EnableResourceServer
    protected static class ResourceServer extends ResourceServerConfigurerAdapter {

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
            resources.tokenStore(tokenStore).resourceId(SERVER_RESOURCE_ID);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            // ... Not important at this stage
        }
    }

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthConfig extends AuthorizationServerConfigurerAdapter {

        @Autowired
        private AuthenticationManager authenticationManager;


        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
            endpoints.authenticationManager(authenticationManager).tokenStore(tokenStore).approvalStoreDisabled();
        }

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            //... Not important at this stage
        }
    }
}

【讨论】：