Spring OAuth2 - 授权服务器 - 区分客户端上的用户

【问题标题】:Spring OAuth2 - Authorization Server - Differentiate users on clientsSpring OAuth2 - 授权服务器 - 区分客户端上的用户
【发布时间】:2019-01-08 18:54:23
【问题描述】:

我的应用程序卡住了。这听起来很简单:我在我的 OAuth AuthorizationServer 上注册了两个客户端和两个用户。用户 alpha 可以访问这两个应用程序(“androidapp”和“angularapp”),但用户 beta 只能访问其中一个应用程序(仅“angularapp”)。如何区分用户并阻止“androidapp”应用的测试版?

这是我的 AuthServer 的代码:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter{

    @Autowired private DataSource dataSource;
    @Autowired private AuthenticationManager authenticationManager;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
            .tokenKeyAccess("permitAll()")
            .checkTokenAccess("isAuthenticated()")
            ;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("angularapp")
        .secret(passwordEncoder.encode("12345"))
        .scopes("read", "write")
        .authorizedGrantTypes("password", "refresh_token")
        .accessTokenValiditySeconds(20000)
        .refreshTokenValiditySeconds(20000)
        .and()
        .withClient("androidapp")
        .secret(passwordEncoder.encode("67890"))
        .scopes("read", "write")
        .authorizedGrantTypes("password", "refresh_token")
        .accessTokenValiditySeconds(20000)
        .refreshTokenValiditySeconds(20000);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

        endpoints
            .authenticationManager(authenticationManager)
            .tokenStore(tokenStore())
            .accessTokenConverter(accessTokenConverter())
            ;

    }

    @Bean
    public JwtTokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter jwt = new JwtAccessTokenConverter();
        jwt.setSigningKey(JwtConfig.RSA_PRIVATE_KEY);
        jwt.setVerifierKey(JwtConfig.RSA_PUBLIC_KEY);
        return jwt;
    }

}

提前感谢您的回答。

【问题讨论】:

  • 一种选择是编写自己的ClientDetailsService 实现,例如,向loadClientByClientId() 添加一些自定义授权逻辑。
  • 这可以工作,但在那个级别我没有用户名来知道用户是否与该应用程序相关联......
  • 您可以从安全上下文中获取用户名。
  • 是的!你的想法有效,但反过来。执行loadClientByClientId方法时,SecurityContext中存储的Principal对象尚不存在,但执行loadUserByUsername方法时确实存在,稍加观察:此时Principal对象包含client_id,而不是 username,导致自定义 UserDetailsService 对象而不是 ClientsDetailsService。然后,通过关系实体 (JPA),我加入了 client_idusername,给出了预期的结果
  • 嗯,当调用加载客户端方法时,主体还不存在,我觉得很奇怪。您是否保护了/oauth/authorize 端点?

标签: spring spring-boot spring-oauth2


【解决方案1】:

我的解决方案:

loadClientByClientId方法被执行时,Principal对象 存储在SecurityContext 中尚不存在,但当 loadUserByUsername 方法的执行稍加观察: Principal 对象此时包含 client_id,而不是 username,导致自定义 UserDetailsService 对象 而不是ClientsDetailsService。然后,使用关系实体 (JPA) 我加入了client_idusername,给出了预期的结果。

所以,UserDetailsService 实现的代码是:

@Service
public class UsuarioService implements IUsuarioService, UserDetailsService{

    private Logger logger = LoggerFactory.getLogger(UsuarioService.class);

    @Autowired
    private IUsuarioDao usuarioDao;

    @Override
    @Transactional(readOnly=true)
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Usuario usuario = usuarioDao.findByUsername(username);
        if( usuario == null ) {
            logger.error("Login error: Username not found in storage");
            throw new UsernameNotFoundException("Login error: Username not found in storage");
        }
        List<GrantedAuthority> authorities = usuario.getRoles().stream().map( role -> new SimpleGrantedAuthority( role.getNombre() )).collect(Collectors.toList());

        Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        String applicationID = "";
        if (principal instanceof UserDetails) {
            applicationID = ((UserDetails)principal).getUsername();
        } else {
            applicationID = principal.toString();
        }
        logger.info("Application: {} ", applicationID);

        if( applicationID == null || applicationID.isEmpty() ) {
            logger.error("Application ID can't be empty");
            throw new InsufficientAuthenticationException("Application ID can't be empty");
        }

        OAuthClientDetails app = findApplicationByUsername( usuario.getClientes(), applicationID);
        if( app == null ) {
            logger.error("Unauthorized user for application {}", applicationID);
            throw new UnapprovedClientAuthenticationException("Unauthorized user for application " + applicationID);
        }

        return new User(username, usuario.getPassword(), usuario.getEnabled(), true, true, true, authorities);
    }

    private OAuthClientDetails findApplicationByUsername( final List<OAuthClientDetails> list, final String clientID ){
        return list.stream().filter( p -> p.getClientId().equals(clientID) ).findAny().orElse(null); } }

AuthorizationServer 配置是:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter{

    @Autowired DataSource dataSource;
    @Autowired @Qualifier("authenticationManagerBean") private AuthenticationManager authenticationManager;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
            .tokenKeyAccess("permitAll()") 
            .checkTokenAccess("isAuthenticated()") 
            ;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

        endpoints
            .authenticationManager(authenticationManager)
            .tokenStore(tokenStore())
            .accessTokenConverter(accessTokenConverter())
            ;

    }

    @Bean
    public JwtTokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter jwt = new JwtAccessTokenConverter();
        jwt.setSigningKey(JwtConfig.RSA_PRIVATE_KEY);
        jwt.setVerifierKey(JwtConfig.RSA_PUBLIC_KEY);
        return jwt;
    }

}

非常感谢您的帮助和想法。

【讨论】:

    【解决方案2】:

    我过去解决的方法是创建ResourceOwnerPasswordTokenGranter的子类并覆盖这个方法:

    protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {

    如果您从 Spring 源代码中复制原始方法,则在某个时刻您可以访问 client_id (client.getClientId()) 和用户 (userAuth.getPrincipal())。

    如果用户的角色与客户端不匹配,我会抛出InsufficientAuthenticationException以避免用户无法登录。

    如果 Spring Security 有某种回调以避免复制部分代码来执行此操作,那就太好了。我为此打开了https://github.com/spring-projects/spring-security-oauth/issues/791

    【讨论】:

    • 是一个非常好的主意,请接受我的投票,但我试图不完全按照你提到的那样去做。最近我经常访问 Spring 类,复制,并且只稍微修改一些方法。正如您肯定提到的,他们在 Spring 项目中应该有更多的考虑。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-08-23
    • 2018-11-26
    • 2015-03-31
    • 2011-07-02
    • 2021-02-04
    • 2018-09-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode