达内广州C++学院|c++培训|广州达内科技C++/C#培训|.NET培训|IT培训|达内广州岗顶中心 达内广州C++学院|c++培训|广州达内科技C++/C#培训|.NET培训|IT培训|达内广州岗顶中心
java程序员
 当前位置:主页 > 高端课程 > java程序员 >

解决Spring Boot 从1.x升级到 2.x 后 单点登陆(SSO)问题

时间:2019-09-11  来源:未知  作者:广州达内培训

解决Spring Boot 从1.x升级到 2.x 后 单点登陆(SSO)问题

??在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security 、Spring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。

项目环境:

  • JDK1.8
  • Spring boot 2.x
  • Spring Security 5.x

??前期基本上已经将 Spring Security相关的内容写得差不多了,所以最近在整理Spring Sexurity Oauh2 相关的内容,但在进行到单点登陆(OSS)时,有一个问题一直困扰了我很久,由于网上有关于Spring Boot 1.x 升级到Spring Boot 2.x 后单点登陆相关的问题解决资料很少,特此在这里专门列一篇文章来描述升级过程中遇到的一些问题、问题表现现象以及我是如何解决这些问题的。

问题一: spring boot 2 中去除了@EnableOAuth2Sso ?

??首先很明确的告诉你,并没有!!但为什么引入了 spring-security-oauth2 maven依赖 IDEA提示 @EnableOAuth2Sso 找不到呢? 首先我们找到官方Spring Boot 2.x 升级文档,我们会发现其中有关于Oauth2 相关的介绍:

OAuth 2.0 Support
Functionality from the Spring Security OAuth project is being migrated to core Spring Security. OAuth 2.0 client support has already been added and additional features will be migrated in due course.

If you depend on Spring Security OAuth features that have not yet been migrated you will need to add org.springframework.security.oauth:spring-security-oauth2 and configure things manually. If you only need OAuth 2.0 client support you can use the auto-configuration provided by Spring Boot 2.0. We’re also continuing to support Spring Boot 1.5 so older applications can continue to use that until an upgrade path is provided.

?? 我们可以大致明白 官方 2.x 正在将 Spring Security OAuth项目的功能迁移到 Spring Security 中。 但最值得注意的是其中有这么一段话 If you only need OAuth 2.0 client support you can use the auto-configuration provided by Spring Boot 2.0.(如果你想要在Spring Boot 2.0(及以上)版本中使用 Oauth2 客户端 相关的功能 需要使用 auto-configuration)。

??根据这个提示,我们找到 官方 auto-configuration文档,一进来 就告诉我们需要用到的最小maven依赖:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.1.7.RELEASE</version>
        </dependency>

??按照官方文档配置成功引用到了@EnableOAuth2Sso ,至此,该问题得到解决!

问题二: 单点登陆授权过程中回调到客户端却提示401(未授权)问题 ?

一、 SSO 客户端相关配置

ClientSecurityConfig 配置
@Configuration
@EnableOAuth2Sso  // SSo自动配置引用
public class ClientSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }

}

这个配置是按照 官方 auto-configuration文档 推荐的配置。

application.yml 配置
auth-server: http://localhost:9090 # authorization服务地址


security:
  oauth2:
    client:
      user-authorization-uri: ${auth-server}/oauth/authorize #请求认证的地址
      access-token-uri: ${auth-server}/oauth/token #请求令牌的地址
    resource:
      jwt:
        key-uri: ${auth-server}/oauth/token_key #解析jwt令牌所需要密钥的地址,服务启动时会调用 授权服务该接口获取jwt key,所以务必保证授权服务正常
    sso:
      login-path: /login #指向登录页面的路径,即OAuth2授权服务器触发重定向到客户端的路径 ,默认为 /login
spring:
  profiles:
    active: client1

??由于我们要多客户端单点测试,这里使用Spring boot 的多环境配置,这里有关授权服务的配置不在描述,以及默认搭建好了一个可用的授权服务(如果不清楚如何搭建Oauth2的授权服务和资源服务,可以关注我,后续会出相关文章)。

application-client1.yml 配置
    server:
      port: 8091
    
    security:
      oauth2:
        client:
          client-id: client1
          client-secret: 123456
测试接口
@RestController
@Slf4j
public class TestController {

    @GetMapping("/client/{clientId}")
    public String getClient(@PathVariable String clientId) {
        return clientId;
    }

}

?? 至此问我们完成了一个最基本的SSO客户端,启动项目。

二、 问题描述及现象

??浏览器上访问测试接口 localhost:8091/client/1 ,跳转到授权服务登陆界面,登陆成功后,跳转回到客户端的 /login 地址 (即 我们 配置的 spring.security.sso.login-path ),正常情况下会再次跳转到 localhost:8091/client/1(这次已经是认证成功后访问)。这整个流程就是Oauth2 的授权码模式流程。但现在有这么一个问题,在授权服务回调到客户端的 /login 地址时,浏览器显示 HTTP ERROR 401, 如下图:
https://img2018.cnblogs.com/blog/1772687/201909/1772687-20190911161112024-754191773.png

??从图中我们可以看到,授权服务成功的返回了授权码,但由于我们客户端存在问题,出现 401 ,导致整个授权码模式流程中断。 在看 官方 auto-configuration文档 过程中,无意间发现

Also note that since all endpoints are secure by default, this includes any default error handling endpoints, for example, the endpoint "/error". This means that if there is some problem during Single Sign On that requires the application to redirect to the "/error" page, then this can cause an infinite redirect between the identity provider and the receiving application.
First, think carefully about making an endpoint insecure as you may find that the behavior is simply evidence of a different problem. However, this behavior can be addressed by configuring the application to permit "/error":

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/error").permitAll()
                .anyRequest().authenticated();
    }
}

??大致意思就是:由于默认情况下所有端点都是安全的,因此这包括任何默认错误处理端点,例如端点“/ error”。这意味着如果单点登录期间存在某些问题,需要应用程序重定向到“/ error”页面,则这会导致身份提供程序和接收应用程序之间的无限重定向。

??根据这个提示,我开始DEBUG,果然正如文档所说,单点登录期间存在某些问题重定向到了/error,所以我们将 /error 配置成无权限访问,重启再次访问测试接口,这次的错误界面提示就很明显了:
https://img2018.cnblogs.com/blog/1772687/201909/1772687-20190911161112305-840188761.png

??既然明显的提示 Unauthorized 了,那我们就来一步一步的DEBUG 看看单点期间出现的问题点是什么。

三、 问题排查及解决方案

??从之前的现象描述我们可以知道问题点在授权码回来后去调用获取token这里出现问题了,那么根据源码查看,获取token这块步骤在 OAuth2ClientAuthenticationProcessingFilter 过滤器内部,其关键代码如下:

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {

        OAuth2AccessToken accessToken;
        try {
            accessToken = restTemplate.getAccessToken();  // 1 调用授权服务获取token 
        } catch (OAuth2Exception e) {
            BadCredentialsException bad = new BadCredentialsException("Could not obtain access token", e);
            publish(new OAuth2AuthenticationFailureEvent(bad));
            throw bad;          
        }
        try {
            OAuth2Authentication result = tokenServices.loadAuthentication(accessToken.getValue());  // 成功后从token中解析  OAuth2Authentication 信息
            if (authenticationDetailsSource!=null) {
                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, accessToken.getValue());
                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, accessToken.getTokenType());
                result.setDetails(authenticationDetailsSource.buildDetails(request));
            }
            publish(new AuthenticationSuccessEvent(result));
            return result;
        }
        catch (InvalidTokenException e) {
            BadCredentialsException bad = new BadCredentialsException("Could not obtain user details from token", e);
            publish(new OAuth2AuthenticationFailureEvent(bad));
            throw bad;          
        }

    }

??我们把断点打到这里,Debug下,果然不出所料,在获取token时异常了,异常信息为 : Possible CSRF detected - state parameter was required but no state could be found ,debug截图如下:
https://img2018.cnblogs.com/blog/1772687/201909/1772687-20190911161112598-542978197.png

??查阅网上资料有一下说法:

本地开发,auth server与client都是localhost,造成JSESSIONID相互影响问题。可以通过配置client的context-path或者session名称来解决

?? 根据这个描述,我尝试通过修改 session名称来解决:

server:
  servlet:
    session:
      cookie:
        name: OAUTH2CLIENTSESSION  # 解决  Possible CSRF detected - state parameter was required but no state could be found  问题

?? 重启项目,测试SSO,完美解决!!!

?? 本文介绍短信登录开发的代码可以访问代码仓库中的 security 模块 ,项目的github 地址 : https://github.com/BUG9/spring-security

?? ?? ?? 如果您对这些感兴趣,欢迎star、follow、收藏、转发给予支持!




上一篇:[ERROR] /D:/IDEA文件/travel/src/main/java/cn/itcast/travel/
下一篇:java httpclient跳过https证书验证

友情链接:
  • 全球最大晶圆代工半导体制造厂,台积电斥资订购艾斯摩尔机器设备
  • 英特尔依然是那个英特尔,且看英特尔的城防体系
  • 支持双 DRAM 内存接口,慧荣企业级 SSD 主控方案披露
  • 在全球被反垄断罚款,冤!高通到底哪里得罪了欧盟?
  • 强强联合!万业、微电子所和芯鑫共同打造全新半导体设备
  • 复旦大学校长称:对于集成电路产业发展,大学应该主动担当
  • 技术再升级!无锡中科芯攻克晶圆级再布线及晶圆级凸点制备关键技
  • 聚力!万业企业设立集成电路装备集团,提供自主可控设备
  • 德州仪器C2000微控制器增强连通性和控制性
  • 英特尔打出降价策略,以免被竞争对手 AMD 打败?
  • 贸易摩擦的闹剧没有赢家,苹果有勇气离开中国吗?
  • 图像信号与视觉处理器的发展趋势
  • 真干快消品定位方案班(第二期)火热开班
  • Java集合 ArrayList原理及使用
  • TDD(测试驱动开发)死了吗?
  • JAVA基础之XML相关
  • javaweb项目搭建ehcache缓存系统
  • 每日一码——字符串统计
  • 一篇文章帮你彻底搞清楚“I/O多路复用”和“异步I/O”的前世今生
  • 九:模板方法模式
  • 十二:命令模式(人员解耦和)
  • Java 转PPT为图片、PDF、SVG、XPS、ODP以及PPT和PPTX互转
  • SpringCloud学习(SPRINGCLOUD微服务实战)一
  • 记一次微信网页授权后获取用户信息并重定向
  • 速途新营销五点实战洞察解码“品效合一”
  • 十一:外观模式详解(Service,action与dao)
  • 手把手教你学会 基于JWT的单点登录
  • mysql锁机制总结,以及优化建议
  • 解决多个版本jar包冲突【jar内包名重命名】
  • 中国首张5G终端电信设备进网许可证 华为Mate 20 X 5G版入网
  • RPC之Thrift
  • 高级Java工程师必备 ----
  • 天猫618期间实物支付GMV增长38.5%
  • 换季了,老板你的库存处理好了吗?
  • 从“618”大数据看中国消费新活力
  • 小米生态链:贵在格局感与收放度
  • CODING 2.0 企业级持续交付解决方案
  • 老铁奇趴“新京济” 快手*京东618战报出炉
  • 中小企业新媒体运营基本技能
  • 上汽大通房车再度携手LINE FRIENDS 魔都巡游顺利开启
  • 华为高端手机国内市场份额超苹果夺得榜首
  • 中国智能制造分析报告
  • iPlus艾加营销助力腾讯广告牵手吴晓波 推进商业IP变现
  • 2019世界新能源汽车大会7月1日将在海南举行
  • 区域酒企如何转型突围
  • 时时彩论坛
  • 五星体育斯诺克
  • 北单比分直播
  • 河北11选5走势图
  • 福建体彩36选7开奖结果
  • 九龙图库下载