java-带有client_credentials错误的Oaut2RestTemplate(不允许匿名)
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了java-带有client_credentials错误的Oaut2RestTemplate(不允许匿名),小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2691字,纯文字阅读大概需要4分钟。
内容图文
我正在尝试使用ResourceServerConfigurerAdapter(带有Oauth2 client_credentials)访问受Spring Security保护的Web服务
以下是安全性配置
//Micoservice 1
@Configuration
@EnableResourceServer
class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
@Autowired
private Environment env;
@Autowired
private DummyUserFilter dummyUserFilter;
@Override
public void configure(HttpSecurity http) throws Exception {
http.addFilterAfter(dummyUserFilter, LogoutFilter.class)
.formLogin().disable()
.httpBasic().disable()
.csrf().disable()
.antMatcher("/**")
.authorizeRequests()
.antMatchers("/js/**", "/webjars/**").permitAll()
.anyRequest()
.authenticated();
}
}
该应用程序(微服务1)将由另一个具有Oauth2RestTemplate的应用程序(微服务2)访问.以下是Oauth2RestTemplate配置.
//MicroService 2
@Configuration
public class RestTemplateConfig {
@Bean
public RestTemplate restTemplate() {
ClientCredentialsResourceDetails resourceDetails = new ClientCredentialsResourceDetails();
resourceDetails.setAccessTokenUri("https://<UAA>/oauth/token");
resourceDetails.setClientId("#####");
resourceDetails.setClientSecret("#####");
resourceDetails.setGrantType("client_credentials");
resourceDetails.setTokenName("access_token");
DefaultOAuth2ClientContext clientContext = new DefaultOAuth2ClientContext();
OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails, clientContext);
return restTemplate;
}
}
微服务2具有各种Web服务,这些Web服务使用RestTemplate访问微服务1的受保护Web服务.
这总是导致以下异常
需要认证才能获得访问令牌(不允许匿名)
我搜索了此错误,发现它已抛出AccessTokenProviderChain
这是来自github的相关代码的链接
if (auth instanceof AnonymousAuthenticationToken) {
if (!resource.isClientOnly()) {
throw new InsufficientAuthenticationException(
"Authentication is required to obtain an access token (anonymous not allowed)");
}
}
似乎它不允许匿名用户访问Oauth2令牌.
我无意使用Oauth2保护客户端应用程序(微服务2),并且必须将client_credentials用于预配置的Oauth2RestTemplate.
如何阻止Spring阻止匿名用户访问令牌?
我已经尝试在匿名用户的情况下使用伪身份验证填充SecurityContextHolder,但没有成功.即使我成功做到了,这似乎也很容易.
解决方法:
我遇到了同样的问题,并得出结论,具有多个实现者的AccessTokenProvider接口是罪魁祸首.默认情况下,OAuth2RestTemplate实例化AccessTokenProviderChain,它试图重用现有的登录上下文.但是,如果不存在这样的登录名,则注定会失败.尝试
restTemplate.setAccessTokenProvider(new ResourceOwnerPasswordAccessTokenProvider());
用您的工厂方法.这使用令牌提供程序,该令牌提供程序拥有其凭据,并且在其实现中根本不引用线程本地SecurityContextHolder.
内容总结
以上是互联网集市为您收集整理的java-带有client_credentials错误的Oaut2RestTemplate(不允许匿名)全部内容,希望文章能够帮你解决java-带有client_credentials错误的Oaut2RestTemplate(不允许匿名)所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。