Warum ist mein token abgelehnt? Was ist eine resource-ID? "Invalid token enthält keine Ressource-id (oauth2-Ressource)"

Ich versuche zu konfigurieren, OAuth2 für ein spring-Projekt. Ich bin mit einem gemeinsam genutzten LNF (oauth Implementierung von cloud foundry) Instanz-mein Arbeitsplatz bietet (so bin ich nicht versuchen, um einen Autorisierungs-server und dem Autorisierungs-server ist separat von der Ressource server). Das frontend ist eine single-page-Anwendung, und es wird praktisch direkt aus der Autorisierungs-server über die implizite gewähren. Ich habe die SPA-Einrichtung, wo es fügt die Authorization: Bearer <TOKEN> header auf jeder web-API-Aufruf zu microservices.

Mein Problem ist jetzt mit der microservices.

Ich versuche, diese gemeinsame Autorisierungs-server zu authentifizieren, der microservices. Ich habe vielleicht ein Missverständnis hier, kaufen Sie mein Aktuelles Verständnis ist, dass diese microservices in die Rolle der Ressourcen-server, weil Sie Gastgeber der Endpunkte der SPA verwendet, um Informationen zu bekommen.

So, ich habe versucht, konfigurieren Sie einen microservice in etwa so:

@Configuration
@EnableResourceServer
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/api/**").authenticated();
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey("-----BEGIN PUBLIC KEY-----<key omitted>-----END PUBLIC KEY-----");
        return converter;
    }

    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        return defaultTokenServices;
    }


    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
         resources.tokenServices(tokenServices());
    }
}

Nun, Wann immer ich traf eine /api/** mit der Authorization: Bearer <TOKEN> bekomme ich einen 403 mit diesem Fehler:

{
    "error": "access_denied",
    "error_description": "Invalid token does not contain resource id (oauth2-resource)"
}

Also hier sind meine Fragen:

  • Wie Konfiguriere ich diese microservices zur Validierung der token und legen Sie eine Principal in controller-Methoden? Ich habe derzeit die Einstellungen, in denen die SPA hat und sendet den token und ich habe auch den öffentlichen Schlüssel zum überprüfen der Signatur des Tokens. Ich habe auch jwt.io zu testen, das token, und es sagt "Unterschrift Geprüft".
  • Was ist eine resource-id? Warum brauche ich es und warum kommt es zu dem oben genannten Fehler? Ist, dass eine Feder nur was??

Dank!

InformationsquelleAutor Rico Kahler | 2017-12-27
  1. 25

    Frühjahr OAuth erwartet "aud" Anspruch in JWT token. Diese Behauptung ist-Wert übereinstimmen sollte, um die resourceId Wert, den Sie angeben, Ihr Frühling-app (falls nicht angegeben, ist er standardmäßig "oauth2-Ressource").

    Zu beheben, müssen Sie:

    1) Loggen Sie sich in Ihrem shared LF und stellen Sie sicher, es enthält "aud" für sich beanspruchen.

    2) Ändern Sie den Wert der "aud" Anspruch "oauth2-Ressource" oder am besten in den Frühlings-app-update resourceId zu behaupten, dass der Wert wie diese:

        @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
         resources.tokenServices(tokenServices());
         resources.resourceId(value from the aud claim you got from UAA server);
    }
    • Hinweis: bei Verwendung keycloak für den authorization server, der resourceId, sollte festgelegt werden, um die client-id. Vielen Dank für deine Antwort !!!!!!!
    • Dem obigen Kommentar ist die Antwort auf diese Frage.
    • Diese Antwort beantwortet nicht die 2. Frage What is a resource id? Why do I need it and why does it cause the error above? Is that a Spring only thing??. Ich kann nicht finden, etwas über den Begriff resource id. Ich weiß nicht warum, ich brauche das, mein client(frontend SPA) senden nur access-token(nicht JWT, einfach nur random text).
    • Bei mir hat es geklappt, ich brauchte nur darauf zu achten, aud Wert (resource_ids Wert von oauth_client_details Tabelle) musste die Partie mit Ressourcen.resourceId(value_here). thnks
    InformationsquelleAutor tsolakp
  2. 3

    Füge ich ein ähnliches Problem. In meinem Fall, ich benutzte jdbc Authentifizierung und Autorisierung-server und resource server war zwei separate API.

    • Authentorization server

         @Override
public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
oauthServer.tokenKeyAccess("permitAll()")
            .checkTokenAccess("isAuthenticated()")
            .passwordEncoder(oauthClientPasswordEncoder);

      }

      /**
* Define the client details service. The client may be define either as in memory or in database.
 * Here client with be fetch from the specify database
  */
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
   clients.jdbc(dataSource);
}

/**
* Define the authorization by providing authentificationManager
* And the token enhancement
 */
 @Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
endpoints.tokenStore(tokenStore())
            .tokenEnhancer(getTokenEnhancer())
            .authenticationManager(authenticationManager).userDetailsService(userDetailsService);
 }

    • Resource server

      public class OAuth2ResourceServerConfig extends 
    ResourceServerConfigurerAdapter {

    private TokenExtractor tokenExtractor = new BearerTokenExtractor();

    @Autowired
    private DataSource dataSource;

    @Bean
    public TokenStore tokenStore() {
      return new JdbcTokenStore(dataSource);
    }

     @Override
     public void configure(HttpSecurity http) throws Exception {
           http.addFilterAfter(new OncePerRequestFilter() {
           @Override
           protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
            FilterChain filterChain) throws ServletException, IOException {
        //We don't want to allow access to a resource with no token so clear
        //the security context in case it is actually an OAuth2Authentication
        if (tokenExtractor.extract(request) == null) {
            SecurityContextHolder.clearContext();
        }
        filterChain.doFilter(request, response);
    }
}, AbstractPreAuthenticatedProcessingFilter.class);
http.csrf().disable();
http.authorizeRequests().anyRequest().authenticated();
 }

  @Bean
  public AccessTokenConverter accessTokenConverter() {
     return new DefaultAccessTokenConverter();
  }

  @Bean
  public RemoteTokenServices remoteTokenServices(final @Value("${auth.server.url}") String checkTokenUrl,
    final @Value("${auth.resource.server.clientId}") String clientId,
    final @Value("${auth.resource.server.clientsecret}") String clientSecret) {

       final RemoteTokenServices remoteTokenServices = new RemoteTokenServices();
       remoteTokenServices.setCheckTokenEndpointUrl(checkTokenUrl);
       remoteTokenServices.setClientId(clientId);
       remoteTokenServices.setClientSecret(clientSecret);
      remoteTokenServices.setAccessTokenConverter(accessTokenConverter());
return remoteTokenServices;
   }

    Mit dieser Konfiguration war ich immer

        {
       "error": "access_denied",
       "error_description": "Invalid token does not contain resource id 
       (xxxxx)"
     }

    Um dieses Problem zu lösen, musste ich hinzufügen

        private String resourceIds= "xxxxx". !! maked sure that this resourceids is store in oauth_client_details for the clientid I used to get the token
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
          resources.resourceId(resourceIds).tokenStore(tokenStore());
      }
    InformationsquelleAutor onlyme
Schreibe einen Kommentar