• Spring Security OAuth2 授权失败(401) 问题整理


         Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

    项目中采用OAuth2四种模式中的两种,Password模式和Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用。

    权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是最好的方式)。现在将问题和解决方案整理如下:

    一、免登录接口校验token问题

           问题:APP端反馈,一些免登录接口会校验token

           详细:经过测试发现,免登录接口 如果传了access_token会对token合法性就行校验,如果不传接口不会校验,这导致了免登录接口的过期token会报错

          排查:经过查看源码发现spring-security-oauth2的过滤器 OAuth2AuthenticationProcessingFilter 会对请求进行拦截,(具体源码就不截图了)

      •   如果存在access_token 则会根据userInfoEndpointUrl去认证服务器上校验token信息,
      •   如果不存在access_token 则会继续执行spring-security的拦截器FilterSecurityInterceptor。 FilterSecurityInterceptor对路径是否需要授权,已经授权是否通过做校验~  

           解决: 可以采用过滤器在执行到核心过滤器OAuth2AuthenticationProcessingFilter ,将不需要授权的请求头中的access_token过滤掉。或者APP免登录接口不传token

                      最终采用的是后者

    二、Token失效返回的是状态401的错误

     1、问题: APP端反馈,传递失效access_token,返回401状态,期望是200同时以错误码方式提示token失效。

          排查:经过单步调试分析源码发现,token失效后,认证服务器会抛出异常,同时响应给资源服务器,资源服务发现认证服务器的错误后会抛出InvalideException。

                    抛出的异常会经过默认的DefaultWebResponseExceptionTranslator 处理然后 Reseponse给Client端。

          解决:通过上面的分析指导。最后的异常是在DefaultWebResponseExceptionTranslator 处理的,所以只需要

      •    自定义实现类Implements WebResponseExceptionTranslator 接口处理异常装换逻辑,
      •    使得自定义的类生效

     (1)自定义异常转换类

     1 @Slf4j
     2 public class Auth2ResponseExceptionTranslator implements WebResponseExceptionTranslator {
     3 
     4     @Override
     5     public ResponseEntity<OAuth2Exception> translate(Exception e) {
     6         log.error("Auth2异常", e);
     7         Throwable throwable = e.getCause();
     8         if (throwable instanceof InvalidTokenException) {
     9             log.info("token失效:{}", throwable);
    10             return new ResponseEntity(new Message<>(ServerConstant.INVALID_TOKEN.getMsg(), ServerConstant.INVALID_TOKEN.getCode()), HttpStatus.OK);
    11         }
    12         return new ResponseEntity(new Message(e.getMessage(), String.valueOf(HttpStatus.METHOD_NOT_ALLOWED.value())), HttpStatus.METHOD_NOT_ALLOWED);
    13     }
    14 }

           (2)资源服务器中使得自定义类生效

               

     1 @Configuration
     2 @EnableResourceServer
     3 public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
     4 
     5 
     6   @Override
     7   public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
    // 定义异常转换类生效
    8 AuthenticationEntryPoint authenticationEntryPoint = new OAuth2AuthenticationEntryPoint(); 9 ((OAuth2AuthenticationEntryPoint) authenticationEntryPoint).setExceptionTranslator(new Auth2ResponseExceptionTranslator()); 10 resources.authenticationEntryPoint(authenticationEntryPoint); 11 } 12 13 14 @Override 15 public void configure(HttpSecurity http) throws Exception { 16 http 17 .csrf().disable() 18 .exceptionHandling()
    // 定义的不存在access_token时候响应
    19 .authenticationEntryPoint(new SecurityAuthenticationEntryPoint()) 20 .and() 21 .authorizeRequests().antMatchers("/**/**").permitAll() 22 .anyRequest().authenticated() 23 .and() 24 .httpBasic().disable(); 25 }

     2、问题:测试发现授权接口,当请求参数中不存在access_token时发现接口返回错误信息:
                    {"timestamp":1539337154336,"status":401,"error":"Unauthorized","message":"No message available","path":"/app/businessCode/list"}

          排查:经过前面的分析发现,上面提到Security的FilterSecurityInterceptor对OAuth2中返回的信息和本身配置校验后,抛出AccessDenyException。

          解决:经过上面的几个问题的处理,发现思路还是一样的,需要定义响应结果,

                      即1、自定义响应处理逻辑SecurityAuthenticationEntryPoint 2、自定义处理逻辑SecurityAuthenticationEntryPoint生效(见上面的配置)

         SecurityAuthenticationEntryPoint具体实现

     1 @Slf4j
     2 public class SecurityAuthenticationEntryPoint implements AuthenticationEntryPoint {
     3 
     4     @Override
     5     public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
     6        log.error("Spring Securtiy异常", authException);
     7        response.setCharacterEncoding("UTF-8");
     8        response.setContentType("application/json; charset=utf-8");
     9        PrintWriter out = response.getWriter();
    10        out.print(JSON.toJSONString(new Message<>(ServerConstant.INVALID_TOKEN.getMsg(), ServerConstant.INVALID_TOKEN.getCode())));
    11     }
    12 }

         

      

           

  • 相关阅读:
    mybatis中的#和$的区别
    Java 导出 CSV
    java生成UUID
    Java并发编程的艺术(七)——Executors
    Java并发编程的艺术(六)——线程间的通信
    Java并发编程的艺术(五)——中断
    Java并发编程的艺术(四)——线程的状态
    Java并发编程的艺术(三)——volatile
    Java并发编程的艺术(二)——重排序
    Java并发编程的艺术(一)——并发编程需要注意的问题
  • 原文地址:https://www.cnblogs.com/mxmbk/p/9782409.html
Copyright © 2020-2023  润新知