Mit der Sicherheit um Ausnahmen in Spring Boot Resource Server

Wie kann ich meine benutzerdefinierte ResponseEntityExceptionHandler oder OAuth2ExceptionRenderer Exceptions ausgelöst von Spring security in einer reinen Ressourcen-server?

Implementierten wir eine 

@ControllerAdvice
@RestController
public class GlobalExceptionHandler extends ResponseEntityExceptionHandler {

also, Wann immer es ist ein Fehler auf der Ressourcen-server, die wir wollen, zu beantworten, mit

{
  "message": "...",
  "type": "...",
  "status": 400
}

Den resource-server verwendet die Anwendung.Eigenschaften der Einstellung:

security.oauth2.resource.userInfoUri: http://localhost:9999/auth/user

zur Authentifizierung und Autorisierung einer Anfrage an unsere auth-server.

Jedoch keine spring security Fehler wird immer umgehen, unsere exception-handler bei

    @ExceptionHandler(InvalidTokenException.class)
    public ResponseEntity<Map<String, Object>> handleInvalidTokenException(InvalidTokenException e) {
        return createErrorResponseAndLog(e, 401);
    }

produzieren und entweder 

{
  "timestamp": "2016-12-14T10:40:34.122Z",
  "status": 403,
  "error": "Forbidden",
  "message": "Access Denied",
  "path": "/api/templates/585004226f793042a094d3a9/schema"
}

oder 

{
  "error": "invalid_token",
  "error_description": "5d7e4ab5-4a88-4571-b4a4-042bce0a076b"
}

So, wie ich die Sicherheitseinstellungen konfigurieren exception-handling für ein Ressourcen-server? Alles, was ich jemals finden werden Beispiele auf, wie Sie die Auth-Server durch die Implementierung einer benutzerdefinierten OAuth2ExceptionRenderer. Aber ich kann nicht finden, wo dieser Draht auf die Ressource server-security-Kette.

Unsere einzige Konfiguration/setup ist:

@SpringBootApplication
@Configuration
@ComponentScan(basePackages = {"our.packages"})
@EnableAutoConfiguration
@EnableResourceServer
InformationsquelleAutor Pete | 2016-12-14
  1. 25

    Wie bereits in früheren Kommentaren wird der Antrag abgelehnt, mit dem security-framework, bevor es erreicht das MVC-Schicht, so @ControllerAdvice ist keine option hier.

    Gibt es 3 Schnittstellen in das Spring Security-framework von Interesse sein können, hier:

    • org.springframework.Sicherheit.web.die Authentifizierung.AuthenticationSuccessHandler
    • org.springframework.Sicherheit.web.die Authentifizierung.AuthenticationFailureHandler
    • org.springframework.Sicherheit.web.- Zugang.AccessDeniedHandler

    Können Sie erstellen, die Implementierungen der einzelnen Schnittstellen, um die Antwort anpassen, die gesendet wird für verschiedene Veranstaltungen: erfolgreicher login, login fehlgeschlagen, versuchen, Zugriff auf geschützte Ressource mit unzureichenden Berechtigungen.

    Folgende wäre wieder eine JSON-Antwort von erfolglosen login-Versuch:

    @Component
public class RestAuthenticationFailureHandler implements AuthenticationFailureHandler
{
  @Override
  public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
      AuthenticationException ex) throws IOException, ServletException
  {
    response.setStatus(HttpStatus.FORBIDDEN.value());

    Map<String, Object> data = new HashMap<>();
    data.put("timestamp", new Date());
    data.put("status",HttpStatus.FORBIDDEN.value());
    data.put("message", "Access Denied");
    data.put("path", request.getRequestURL().toString());

    OutputStream out = response.getOutputStream();
    com.fasterxml.jackson.databind.ObjectMapper mapper = new ObjectMapper();
    mapper.writeValue(out, data);
    out.flush();
  }
}

    Müssen Sie auch die Registrierung Ihrer Umsetzung(s) mit dem Security framework. In Java-config sieht dies wie unten:

    @Configuration
@EnableWebSecurity
@ComponentScan("...")
public class SecurityConfiguration extends WebSecurityConfigurerAdapter
{
  @Override
  public void configure(HttpSecurity http) throws Exception
  {
    http.addFilterBefore(corsFilter(), ChannelProcessingFilter.class).logout().deleteCookies("JESSIONID")
        .logoutUrl("/api/logout").logoutSuccessHandler(logoutSuccessHandler()).and().formLogin().loginPage("/login")
        .loginProcessingUrl("/api/login").failureHandler(authenticationFailureHandler())
        .successHandler(authenticationSuccessHandler()).and().csrf().disable().exceptionHandling()
        .authenticationEntryPoint(authenticationEntryPoint()).accessDeniedHandler(accessDeniedHandler());
  }

  /**
   * @return Custom {@link AuthenticationFailureHandler} to send suitable response to REST clients in the event of a
   *         failed authentication attempt.
   */
  @Bean
  public AuthenticationFailureHandler authenticationFailureHandler()
  {
    return new RestAuthenticationFailureHandler();
  }

  /**
   * @return Custom {@link AuthenticationSuccessHandler} to send suitable response to REST clients in the event of a
   *         successful authentication attempt.
   */
  @Bean
  public AuthenticationSuccessHandler authenticationSuccessHandler()
  {
    return new RestAuthenticationSuccessHandler();
  }

  /**
   * @return Custom {@link AccessDeniedHandler} to send suitable response to REST clients in the event of an attempt to
   *         access resources to which the user has insufficient privileges.
   */
  @Bean
  public AccessDeniedHandler accessDeniedHandler()
  {
    return new RestAccessDeniedHandler();
  }
}
    • In einer reinen @EnableResourceServer ich habe eine @Configuration Klasse, wo ich Draht in http.exceptionHandling().accessDeniedHandler(restAccessDeniedHandler, dies jedoch nicht fangen Sie das folgende: { "error": "invalid_token", "error_description": "5d7e4ab5-4a88-4571-b4a4-042bce0a076b" } Wie würden Sie dies tun?
    • In dieser Antwort, die AuthenticationFailureHandler wird verkabelt basiert auf einer loginProcessingUrl. Ich glaube nicht, dass Sie würde haben, einer von denen, für eine @EnableResourceServer. Wie sonst kann man den Draht in diesem?
    • Ich habe das gleiche Problem wie du . Finden Sie die endgültige Lösung ? @p
    • Ich bin mit Problem. @peterl hast du eine Lösung dafür aus?
    • Man könnte auch leiten Sie die Ausnahme von der ControllerAdvice durch Einspritzen des HandlerExceptionResolver und dann ausführen resolver.resolveException(request, response, null, exception); innerhalb der Methode onAuthenticationFailure. Das zentrale exception handling.
    InformationsquelleAutor Alan Hay
  2. 5

    Im Falle dass, wenn Sie @EnableResourceServer ist, finden Sie auch bequem zu verlängern ResourceServerConfigurerAdapter statt WebSecurityConfigurerAdapter in Ihrem @Configuration Klasse. Indem wir dies tun, können Sie einfach registrieren Sie einen benutzerdefinierten AuthenticationEntryPoint durch überschreiben configure(ResourceServerSecurityConfigurer resources) und mit resources.authenticationEntryPoint(customAuthEntryPoint()) innerhalb der Methode.

    Etwas wie dieses:

    @Configuration
@EnableResourceServer
public class CommonSecurityConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.authenticationEntryPoint(customAuthEntryPoint());
    }

    @Bean
    public AuthenticationEntryPoint customAuthEntryPoint(){
        return new AuthFailureHandler();
    }
}

    Gibt es auch eine nette OAuth2AuthenticationEntryPoint erweitert werden kann (da es nicht endgültig) und teilweise wieder verwendet, während die Implementierung einer benutzerdefinierten AuthenticationEntryPoint. Insbesondere, es fügt "WWW-Authenticate" - Header mit Fehler-bezogene Informationen.

    • Es hat nicht funktioniert für mich, wo das security-framework return "Invalid_token, token abgelaufen (blabla...die token-Zeichenfolge hier)" . Es ist einfach das fangen der Ausnahme von 401.
    InformationsquelleAutor Vladimir Salin
  3. 3

    Können Sie nicht machen Verwendung von Spring MVC Exception-handler Anmerkungen, wie @ControllerAdvice da spring security Filter kicks viel vor Spring MVC.

    InformationsquelleAutor so-random-dude
  4. 1

    OAuth2ExceptionRenderer ist für einen Authorization Server. Die richtige Antwort ist wahrscheinlich, es zu handhaben, wie detailliert in diesem post (das ist, ignorieren, dass es oauth und behandeln Sie es wie jedes andere spring security authentication mechanism): https://stackoverflow.com/a/26502321/5639571

    Natürlich, das fängt oauth Verwandte (Ausnahmen, die geworfen werden, bevor Sie erreichen Sie Ihre Ressource-Endpunkt), aber Ausnahmen passiert in Ihrem Ressource Endpunkt benötigen noch @ExceptionHandler Methode.

    InformationsquelleAutor Nikolai Luthman
  5. 0

    Wenn Sie token-Validierung-URL mit config ähnlich Konfigurieren von resource server mit RemoteTokenServices in Spring Security Oauth2 gibt den HTTP-status 401 bei unautorisierten:

    @Primary
@Bean
public RemoteTokenServices tokenService() {
    RemoteTokenServices tokenService = new RemoteTokenServices();
    tokenService.setCheckTokenEndpointUrl("https://token-validation-url.com");
    tokenService.setTokenName("token");
    return tokenService;
}

    Implementierung von benutzerdefinierten authenticationEntryPoint wie beschrieben in den anderen Antworten (https://stackoverflow.com/a/44372313/5962766) funktioniert nicht, weil RemoteTokenService verwenden Sie 400-status und wirft unbehandelte Ausnahmen für andere Zustände wie 401:

    public RemoteTokenServices() {
        restTemplate = new RestTemplate();
        ((RestTemplate) restTemplate).setErrorHandler(new DefaultResponseErrorHandler() {
            @Override
            //Ignore 400
            public void handleError(ClientHttpResponse response) throws IOException {
                if (response.getRawStatusCode() != 400) {
                    super.handleError(response);
                }
            }
        });
}

    So müssen Sie benutzerdefinierte RestTemplate im RemoteTokenServices config das handhaben würde, 401, ohne dass Ausnahme:

    @Primary
@Bean
public RemoteTokenServices tokenService() {
    RemoteTokenServices tokenService = new RemoteTokenServices();
    tokenService.setCheckTokenEndpointUrl("https://token-validation-url.com");
    tokenService.setTokenName("token");
    RestOperations restTemplate = new RestTemplate();
    restTemplate.setRequestFactory(new HttpComponentsClientHttpRequestFactory());
    ((RestTemplate) restTemplate).setErrorHandler(new DefaultResponseErrorHandler() {
            @Override
            //Ignore 400 and 401
            public void handleError(ClientHttpResponse response) throws IOException {
                if (response.getRawStatusCode() != 400 && response.getRawStatusCode() != 401) {
                    super.handleError(response);
                }
            }
        });
    }
    tokenService.setRestTemplate(restTemplate);
    return tokenService;
}

    Hinzufügen und Abhängigkeit für HttpComponentsClientHttpRequestFactory:

    <dependency>
  <groupId>org.apache.httpcomponents</groupId>
  <artifactId>httpclient</artifactId>
</dependency>
    InformationsquelleAutor Justas
  6. -3

    Spring 3.0,die Sie verwenden können @ControllerAdvice (Auf Klassenebene) und erstreckt sich org.springframework.web.servlet.mvc.method.annotation.ResponseEntityExceptionHandler Klasse aus CustomGlobalExceptionHandler

    @ExceptionHandler({com.test.CustomException1.class,com.test.CustomException2.class})
public final ResponseEntity<CustomErrorMessage> customExceptionHandler(RuntimeException ex){
     return new ResponseEntity<CustomErrorMessage>(new CustomErrorMessage(false,ex.getMessage(),404),HttpStatus.BAD_REQUEST);
}
    InformationsquelleAutor Rupesh Patil
Schreibe einen Kommentar