Bean登録httpSessionManagerが重複しているため、Spring Boot 2.1でKeycloakを使用できません
Keycloak 4.5でSpring Boot 2.1アプリを保護したい。
現在、次のエラーが原因でアプリケーションを起動できません。
Exception encountered during context initialization - cancelling refresh attempt:
org.springframework.beans.factory.support.BeanDefinitionOverrideException:
Invalid bean definition with name 'httpSessionManager' defined in class path resource [dummy/service/SecurityConfig.class]:
Cannot register bean definition [Root bean: class [null]; scope=; abstract=false; lazyInit=false; autowireMode=3; dependencyCheck=0; autowireCandidate=true; primary=false; factoryBeanName=securityConfig; factoryMethodName=httpSessionManager; initMethodName=null; destroyMethodName=(inferred); defined in class path resource [dummy/SecurityConfig.class]] for bean 'httpSessionManager':
There is already [Generic bean: class [org.keycloak.adapters.springsecurity.management.HttpSessionManager]; scope=singleton; abstract=false; lazyInit=false; autowireMode=0; dependencyCheck=0; autowireCandidate=true; primary=false; factoryBeanName=null; factoryMethodName=null; initMethodName=null; destroyMethodName=null; defined in URL [jar:file:/.m2/repository/org/keycloak/keycloak-spring-security-adapter/4.5.0.Final/keycloak-spring-security-adapter-4.5.0.Final.jar!/org/keycloak/adapters/springsecurity/management/HttpSessionManager.class]] bound.
私のクラスSecurityConfig(下記参照)はKeycloakWebSecurityConfigurerAdapterから拡張されています。このアダプターは、すでにBean httpSessionManagerを定義しています。
これが問題である理由を理解しています。質問は、どうすればこれを防ぎ、競合を修正できますか?
これまでに行った手順:
- 以下を使用して私のpom(下記参照)を構築しました:
- spring-boot-starter-web
- spring-boot-starter-security
- keycloak-spring-boot-starter
- 依存関係管理のkeycloak-adapter-bom
- KeycloakWebSecurityConfigurerAdapterを拡張する独自のSecurityConfigを定義しました
pom.xml
...
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.1.0.RELEASE</version>
</parent>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<Java.version>11</Java.version>
<maven.compiler.source>${Java.version}</maven.compiler.source>
<maven.compiler.target>${Java.version}</maven.compiler.target>
<keycloak.version>4.5.0.Final</keycloak.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-spring-boot-starter</artifactId>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.keycloak.bom</groupId>
<artifactId>keycloak-adapter-bom</artifactId>
<version>${keycloak.version}</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
...
SecurityConfig.Java
@KeycloakConfiguration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Import(KeycloakWebSecurityConfigurerAdapter.class)
class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) {
KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
auth.authenticationProvider(keycloakAuthenticationProvider);
}
@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
}
@Bean
public KeycloakConfigResolver keycloakConfigResolver() {
return new KeycloakSpringBootConfigResolver();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
http.csrf().ignoringAntMatchers("/**/*");
http.authorizeRequests()
.anyRequest().permitAll();
}
}
Update既知の問題があります( KEYCLOAK-8725 )。この修正は、Keycloakの5.xで計画されています。ただし、コメントには回避策がありました。アノテーション@KeyCloakConfigurationを次のように置き換えます。
@Configuration
@ComponentScan(
basePackageClasses = KeycloakSecurityComponents.class,
excludeFilters = @ComponentScan.Filter(type = FilterType.REGEX, pattern = "org.keycloak.adapters.springsecurity.management.HttpSessionManager"))
@EnableWebSecurity
KeycloakのSpring Security統合にバグがあるようです。つまり、KeycloakWebSecurityConfigurerAdapterをサブクラス化するアプリケーションは、httpSessionManagerという名前の2つのBeanを作成しようとします。 2つのBeanが同じ名前で定義されている場合、検出された2番目の定義は最初の定義をオーバーライドしようとします。このオーバーライドは、Spring Boot 2.1ではデフォルトで禁止されています。これをKeycloakのSpring Security統合に対するバグとして報告することをお勧めします。バグが解決されるのを待っている間に、spring.main.allow-bean-definition-overriding=trueにapplication.propertiesを設定することで問題を回避できます。
これは、問題を解決し、@KeycloakConfigurationを削除し、代わりにこれを使用するのに役立ちました( KEYCLOAK-8725 から):
Java:
@Configuration
@ComponentScan(
basePackageClasses = KeycloakSecurityComponents.class,
excludeFilters = @ComponentScan.Filter(type = FilterType.REGEX, pattern = "org.keycloak.adapters.springsecurity.management.HttpSessionManager"))
@EnableWebSecurity
コトリン:
@Configuration
@ComponentScan(
basePackageClasses = [KeycloakSecurityComponents::class],
excludeFilters = [ComponentScan.Filter(type = FilterType.REGEX, pattern = ["org.keycloak.adapters.springsecurity.management.HttpSessionManager"])]
)
@EnableWebSecurity
バージョン6.0.1ではkeycloak-spring-security-adapterを使用していますが、特別な設定で@KeycloakConfigurationを削除するソリューションはうまくいきませんでした。
私の解決策は、次の行をapplication.propertiesに追加することでした。
spring.main.allow-bean-definition-overriding: true
重複するHttpSessionManager Bean定義に対処する好ましい方法は、SecurityConfigでのこのBeanの作成をオーバーライドし、次のようにインスタンス化に条件付き注釈を追加することです。
@KeycloakConfiguration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Import(KeycloakWebSecurityConfigurerAdapter.class)
class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
@Bean
@Override
@ConditionalOnMissingBean(HttpSessionManager.class)
protected HttpSessionManager httpSessionManager() {
return new HttpSessionManager();
}
}