Spring BootアプリケーションでBearer認証を有効にする方法

Question

私が達成しようとしているのは：

jdbc経由でアクセスするデータベース（MySQLなど）に保存されているユーザー、当局、クライアント、アクセストークン
APIはエンドポイントを公開し、「OAuth2ベアラートークンを入手できますか？クライアントIDとシークレットを知っています」と尋ねます。
リクエストヘッダーにBearerトークンを指定すると、APIを使用してMVCエンドポイントにアクセスできます

私はこれでかなり遠ざかりました-最初の2つのポイントは機能しています。

Spring Bootアプリケーションに完全にデフォルトのOAuth2セットアップを使用することはできませんでした。これは、データベースで標準のテーブル名が既に使用されているためです（たとえば、「users」テーブルが既にあります）。

JdbcTokenStore、JdbcClientDetailsService、およびJdbcAuthorizationCodeServicesの独自のインスタンスを手動で構築し、データベースのカスタムテーブル名を使用するように構成し、これらのインスタンスを使用するようにアプリケーションを設定しました。

だから、ここに私がこれまで持っているものがあります。 Bearerトークンを要求できます。

_# The `-u` switch provides the client ID & secret over HTTP Basic Auth curl -u8fc9d384-619a-11e7-9fe6-246798c61721:9397ce6c-619a-11e7-9fe6-246798c61721 \ 'http://localhost:8080/oauth/token' \ -d grant_type=password \ -d username=bob \ -d password=tom _

応答があります。いいね！

_{"access_token":"1ee9b381-e71a-4e2f-8782-54ab1ce4d140","token_type":"bearer","refresh_token":"8db897c7-03c6-4fc3-bf13-8b0296b41776","expires_in":26321,"scope":"read write"} _

今、私はそのトークンをuseしようとします：

_curl 'http://localhost:8080/test' \ -H "Authorization: Bearer 1ee9b381-e71a-4e2f-8782-54ab1ce4d140" _

悲しいかな：

_{ "timestamp":1499452163373, "status":401, "error":"Unauthorized", "message":"Full authentication is required to access this resource", "path":"/test" } _

これは、（この特定のケースでは）anonymous認証にフォールバックしたことを意味します。 .anonymous().disable()をHttpSecurityに追加すると、realエラーが表示されます。

_{ "timestamp":1499452555312, "status":401, "error":"Unauthorized", "message":"An Authentication object was not found in the SecurityContext", "path":"/test" } _

ロギングの冗長性を高めることで、これをさらに詳しく調査しました。

_logging.level: org.springframework: security: DEBUG _

これにより、リクエストが通過する10個のフィルターが明らかになります。

_o.s.security.web.FilterChainProxy : /test at position 1 of 10 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter' o.s.security.web.FilterChainProxy : /test at position 2 of 10 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter' w.c.HttpSessionSecurityContextRepository : No HttpSession currently exists w.c.HttpSessionSecurityContextRepository : No SecurityContext was available from the HttpSession: null. A new one will be created. o.s.security.web.FilterChainProxy : /test at position 3 of 10 in additional filter chain; firing Filter: 'HeaderWriterFilter' o.s.security.web.FilterChainProxy : /test at position 4 of 10 in additional filter chain; firing Filter: 'LogoutFilter' o.s.security.web.FilterChainProxy : /test at position 5 of 10 in additional filter chain; firing Filter: 'BasicAuthenticationFilter' o.s.security.web.FilterChainProxy : /test at position 6 of 10 in additional filter chain; firing Filter: 'RequestCacheAwareFilter' o.s.security.web.FilterChainProxy : /test at position 7 of 10 in additional filter chain; firing Filter: 'SecurityContextHolderAwareRequestFilter' o.s.security.web.FilterChainProxy : /test at position 8 of 10 in additional filter chain; firing Filter: 'SessionManagementFilter' o.s.security.web.FilterChainProxy : /test at position 9 of 10 in additional filter chain; firing Filter: 'ExceptionTranslationFilter' o.s.security.web.FilterChainProxy : /test at position 10 of 10 in additional filter chain; firing Filter: 'FilterSecurityInterceptor' o.s.s.w.a.i.FilterSecurityInterceptor : Secure object: FilterInvocation: URL: /test; Attributes: [authenticated] o.s.s.w.a.ExceptionTranslationFilter : Authentication exception occurred; redirecting to authentication entry point org.springframework.security.authentication.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext at org.springframework.security.access.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterceptor.Java:379) ~[spring-security-core-4.2.3.RELEASE.jar:4.2.3.RELEASE] _

匿名ユーザーがdisabledの場合、それは次のようになります。それらがenabledの場合：AnonymousAuthenticationFilterがSecurityContextHolderAwareRequestFilterの直後にフィルターチェーンに追加され、シーケンスがさらに終了しますこのような：

_o.s.security.web.FilterChainProxy : /test at position 11 of 11 in additional filter chain; firing Filter: 'FilterSecurityInterceptor' o.s.s.w.a.i.FilterSecurityInterceptor : Secure object: FilterInvocation: URL: /test; Attributes: [authenticated] o.s.s.w.a.i.FilterSecurityInterceptor : Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationToken@9055c2bc: Principal: anonymousUser; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@b364: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: null; Granted Authorities: ROLE_ANONYMOUS o.s.s.access.vote.AffirmativeBased : Voter: org.springframework.security.web.access.expression.WebExpressionVoter@5ff24abf, returned: -1 o.s.s.w.a.ExceptionTranslationFilter : Access is denied (user is anonymous); redirecting to authentication entry point org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.Java:84) ~[spring-security-core-4.2.3.RELEASE.jar:4.2.3.RELEASE] _

どちらにしても：ダメ。

本質的に、フィルターチェーンのいくつかのステップが欠落していることを示しています。ServletRequestのヘッダーを読み取り、セキュリティコンテキストの認証を設定するフィルターが必要です。

_SecurityContextHolder.getContext().setAuthentication(request: HttpServletRequest); _

このようなフィルターをどのように取得するのだろうか？

これが私のアプリケーションの外観です。それはKotlinですが、うまくいけばJavaの目にとって意味があるはずです。

Application.kt：

_@SpringBootApplication(scanBasePackageClasses=arrayOf( com.example.domain.Package::class, com.example.service.Package::class, com.example.web.Package::class )) class MyApplication fun main(args: Array<String>) { SpringApplication.run(MyApplication::class.Java, *args) } _

TestController：

_@RestController class TestController { @RequestMapping("/test") fun Test(): String { return "hey there" } } _

MyWebSecurityConfigurerAdapter：

_@Configuration @EnableWebSecurity /** * Based on: * https://stackoverflow.com/questions/25383286/spring-security-custom-userdetailsservice-and-custom-user-class * * Password encoder: * http://www.baeldung.com/spring-security-authentication-with-a-database */ class MyWebSecurityConfigurerAdapter( val userDetailsService: MyUserDetailsService ) : WebSecurityConfigurerAdapter() { private val passwordEncoder = BCryptPasswordEncoder() override fun userDetailsService() : UserDetailsService { return userDetailsService } override fun configure(auth: AuthenticationManagerBuilder) { auth .authenticationProvider(authenticationProvider()) } @Bean fun authenticationProvider() : AuthenticationProvider { val authProvider = DaoAuthenticationProvider() authProvider.setUserDetailsService(userDetailsService()) authProvider.setPasswordEncoder(passwordEncoder) return authProvider } override fun configure(http: HttpSecurity?) { http!! .anonymous().disable() .authenticationProvider(authenticationProvider()) .authorizeRequests() .anyRequest().authenticated() .and() .httpBasic() .and() .csrf().disable() } } _

MyAuthorizationServerConfigurerAdapter：

_/** * Based on: * https://github.com/spring-projects/spring-security-oauth/blob/master/tests/annotation/jdbc/src/main/Java/demo/Application.Java#L68 */ @Configuration @EnableAuthorizationServer class MyAuthorizationServerConfigurerAdapter( val auth : AuthenticationManager, val dataSource: DataSource, val userDetailsService: UserDetailsService ) : AuthorizationServerConfigurerAdapter() { private val passwordEncoder = BCryptPasswordEncoder() @Bean fun tokenStore(): JdbcTokenStore { val tokenStore = JdbcTokenStore(dataSource) val oauthAccessTokenTable = "auth_schema.oauth_access_token" val oauthRefreshTokenTable = "auth_schema.oauth_refresh_token" tokenStore.setDeleteAccessTokenFromRefreshTokenSql("delete from ${oauthAccessTokenTable} where refresh_token = ?") tokenStore.setDeleteAccessTokenSql("delete from ${oauthAccessTokenTable} where token_id = ?") tokenStore.setDeleteRefreshTokenSql("delete from ${oauthRefreshTokenTable} where token_id = ?") tokenStore.setInsertAccessTokenSql("insert into ${oauthAccessTokenTable} (token_id, token, authentication_id, " + "user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)") tokenStore.setInsertRefreshTokenSql("insert into ${oauthRefreshTokenTable} (token_id, token, authentication) values (?, ?, ?)") tokenStore.setSelectAccessTokenAuthenticationSql("select token_id, authentication from ${oauthAccessTokenTable} where token_id = ?") tokenStore.setSelectAccessTokenFromAuthenticationSql("select token_id, token from ${oauthAccessTokenTable} where authentication_id = ?") tokenStore.setSelectAccessTokenSql("select token_id, token from ${oauthAccessTokenTable} where token_id = ?") tokenStore.setSelectAccessTokensFromClientIdSql("select token_id, token from ${oauthAccessTokenTable} where client_id = ?") tokenStore.setSelectAccessTokensFromUserNameAndClientIdSql("select token_id, token from ${oauthAccessTokenTable} where user_name = ? and client_id = ?") tokenStore.setSelectAccessTokensFromUserNameSql("select token_id, token from ${oauthAccessTokenTable} where user_name = ?") tokenStore.setSelectRefreshTokenAuthenticationSql("select token_id, authentication from ${oauthRefreshTokenTable} where token_id = ?") tokenStore.setSelectRefreshTokenSql("select token_id, token from ${oauthRefreshTokenTable} where token_id = ?") return tokenStore } override fun configure(security: AuthorizationServerSecurityConfigurer?) { security!!.passwordEncoder(passwordEncoder) } override fun configure(clients: ClientDetailsServiceConfigurer?) { val clientDetailsService = JdbcClientDetailsService(dataSource) clientDetailsService.setPasswordEncoder(passwordEncoder) val clientDetailsTable = "auth_schema.oauth_client_details" val CLIENT_FIELDS_FOR_UPDATE = "resource_ids, scope, " + "authorized_grant_types, web_server_redirect_uri, authorities, access_token_validity, " + "refresh_token_validity, additional_information, autoapprove" val CLIENT_FIELDS = "client_secret, ${CLIENT_FIELDS_FOR_UPDATE}" val BASE_FIND_STATEMENT = "select client_id, ${CLIENT_FIELDS} from ${clientDetailsTable}" clientDetailsService.setFindClientDetailsSql("${BASE_FIND_STATEMENT} order by client_id") clientDetailsService.setDeleteClientDetailsSql("delete from ${clientDetailsTable} where client_id = ?") clientDetailsService.setInsertClientDetailsSql("insert into ${clientDetailsTable} (${CLIENT_FIELDS}," + " client_id) values (?,?,?,?,?,?,?,?,?,?,?)") clientDetailsService.setSelectClientDetailsSql("${BASE_FIND_STATEMENT} where client_id = ?") clientDetailsService.setUpdateClientDetailsSql("update ${clientDetailsTable} set " + "${CLIENT_FIELDS_FOR_UPDATE.replace(", ", "=?, ")}=? where client_id = ?") clientDetailsService.setUpdateClientSecretSql("update ${clientDetailsTable} set client_secret = ? where client_id = ?") clients!!.withClientDetails(clientDetailsService) } override fun configure(endpoints: AuthorizationServerEndpointsConfigurer?) { endpoints!! .authorizationCodeServices(authorizationCodeServices()) .authenticationManager(auth) .tokenStore(tokenStore()) .approvalStoreDisabled() .userDetailsService(userDetailsService) } @Bean protected fun authorizationCodeServices() : AuthorizationCodeServices { val codeServices = JdbcAuthorizationCodeServices(dataSource) val oauthCodeTable = "auth_schema.oauth_code" codeServices.setSelectAuthenticationSql("select code, authentication from ${oauthCodeTable} where code = ?") codeServices.setInsertAuthenticationSql("insert into ${oauthCodeTable} (code, authentication) values (?, ?)") codeServices.setDeleteAuthenticationSql("delete from ${oauthCodeTable} where code = ?") return codeServices } } _

MyAuthorizationServerConfigurerAdapter：

_@Service class MyUserDetailsService( val theDataSource: DataSource ) : JdbcUserDetailsManager() { @PostConstruct fun init() { dataSource = theDataSource val usersTable = "auth_schema.users" val authoritiesTable = "auth_schema.authorities" setChangePasswordSql("update ${usersTable} set password = ? where username = ?") setCreateAuthoritySql("insert into ${authoritiesTable} (username, authority) values (?,?)") setCreateUserSql("insert into ${usersTable} (username, password, enabled) values (?,?,?)") setDeleteUserAuthoritiesSql("delete from ${authoritiesTable} where username = ?") setDeleteUserSql("delete from ${usersTable} where username = ?") setUpdateUserSql("update ${usersTable} set password = ?, enabled = ? where username = ?") setUserExistsSql("select username from ${usersTable} where username = ?") setAuthoritiesByUsernameQuery("select username,authority from ${authoritiesTable} where username = ?") setUsersByUsernameQuery("select username,password,enabled from ${usersTable} " + "where username = ?") } } _

何か案は？ フィルタチェーンに_OAuth2AuthenticationProcessingFilter_を何らかの形でインストールする必要があるのでしょうか？

起動時にこのようなメッセージが表示されます...これらは問題に関連している可能性がありますか？

_u.c.c.h.s.auth.MyUserDetailsService : No authentication manager set. Reauthentication of users when changing passwords will not be performed. s.c.a.w.c.WebSecurityConfigurerAdapter$3 : No authenticationProviders and no parentAuthenticationManager defined. Returning null. _

編集：

_OAuth2AuthenticationProcessingFilter_のインストールはResourceServerConfigurerAdapterの仕事のようです。次のクラスを追加しました。

MyResourceServerConfigurerAdapter：

_@Configuration @EnableResourceServer class MyResourceServerConfigurerAdapter : ResourceServerConfigurerAdapter() _

そして、これによりResourceServerSecurityConfigurerがconfigure(http: HttpSecurity)メソッドに入り、doesのようになることをデバッガーで確認します_OAuth2AuthenticationProcessingFilter_をフィルターチェーンにインストールしようとします。

しかし、成功したようには見えません。 Spring Securityのデバッグ出力によると、フィルターチェーンには同じ数のフィルターがまだあります。 _OAuth2AuthenticationProcessingFilter_はそこにありません。どうしたの？

EDIT2：問題は、twoクラス（WebSecurityConfigurerAdapter、ResourceServerConfigurerAdapter）HttpSecurityを設定しようとしています。相互に排他的ですか？

Birchlabs · Accepted Answer

はい！この問題は、botha WebSecurityConfigurerAdapterandの両方を登録したという事実に関連していました。 ResourceServerConfigurerAdapter。

解決策：WebSecurityConfigurerAdapterを削除します。そして、このResourceServerConfigurerAdapterを使用します：

@Configuration @EnableResourceServer class MyResourceServerConfigurerAdapter( val userDetailsService: MyUserDetailsService ) : ResourceServerConfigurerAdapter() { private val passwordEncoder = BCryptPasswordEncoder() override fun configure(http: HttpSecurity?) { http!! .authenticationProvider(authenticationProvider()) .authorizeRequests() .anyRequest().authenticated() .and() .httpBasic() .and() .csrf().disable() } @Bean fun authenticationProvider() : AuthenticationProvider { val authProvider = DaoAuthenticationProvider() authProvider.setUserDetailsService(userDetailsService) authProvider.setPasswordEncoder(passwordEncoder) return authProvider } }

[〜＃〜] edit [〜＃〜]：Bearer認証を取得してallエンドポイント（たとえば、/metricsスプリングアクチュエータによってインストールされたエンドポイント）、追加する必要があることがわかりましたsecurity.oauth2.resource.filter-order: 3 わたしの application.yml。この回答を参照してください。