Início / coding / Perguntas / 79349801
Accepted
OhadR
Asked: 2025-01-12 19:20:07 +0800 CST

cliente spring oauth (v6.4.2): não redireciona para oauth-server

  • 772

Eu tento executar todos os 3 componentes oAuth do oAuth usando o Spring Boot 3.4.1. Eu usei os documentos oauth-server-docs e client + resource-server para implementar.

O cliente oAuth pode ter 2 modos:

  1. para fazer login de usuários usando OAuth 2.0 ou OpenID Connect 1.0, e
  2. para obter um token de acesso para usuários (usando RestClient/WebClient).

Quero usar ambos, o que é possível de acordo com a documentação .

Meu código - todos os componentes - está no GitHub: https://github.com/OhadR/oAuth2-sample

Tudo parece funcionar bem, exceto por uma coisa: quando o aplicativo cliente tenta chamar o servidor de recursos antes que o usuário tenha efetuado login, o servidor de recursos retorna 401 (o que é aceitável, eu acho), mas o aplicativo cliente, em vez de redirecionar para o servidor oauth, apenas retorna 500.

Tentei depurar o Spring, mas sem sucesso.

Vejo que em OAuth2AuthorizationRequestRedirectFilter.doFilterInternal(), quando uma exceção é lançada do resto da cadeia de filtros, o Spring verifica se é ClientAuthorizationRequiredExceptione, se for, ele sendRedirectForAuthorization(). Mas no meu caso, por algum motivo, esse código nunca é executado (coloquei um ponto de interrupção lá e ele nunca para lá).

Além disso, vejo que AuthorizationCodeOAuth2AuthorizedClientProvider.authorize(), que é o que supostamente lança o ClientAuthorizationRequiredException, não é chamado. (Ele é chamado apenas no fluxo de "login", quando o aplicativo cliente chama o servidor de recursos depois que o usuário já está logado).

o que funciona? modo (1) acima, significando que o aplicativo cliente tem um botão "login", que chama /login/oauth2/code/{registrationId}. Isso redireciona para o servidor oauth, o usuário faz login e, então, quando o aplicativo cliente tenta chamar o servidor de recursos, ele funciona bem, obtém 200 com resposta.

Mas o modo (2) não está funcionando. O que estou perdendo?

Obrigado!

spring-boot

2 respostas

  1. Best Answer

    Vamos chamar o que envia a solicitação de F, o aplicativo no meio Ge o servidor de recursos no final RS.

    Como RSé configurado como um servidor de recursos OAuth2 ( oauth2ResourceServerno Spring Security DSL), ele espera que as solicitações sejam autorizadas com um Bearertoken emitido por um servidor de autorização em que confia (ou um dos servidores de autorização em que confia no caso de multilocação).

    Os tokens de acesso são emitidos para clientes OAuth2, que podem ser

    • G
    • Fse Gestiver configurado para encaminhar o token de acesso que recebe deF

    Existem dois fluxos principais do OAuth2 para obter um token de acesso (ambos Fpodem Gusar qualquer um deles):

    • código de autorização: a solicitação é autorizada em nome de um usuário final que se autentica no servidor de autorização (usando formulários de login opcionalmente com MFA, cookie de lembrar de mim, link mágico ou o que for implementado por este servidor de autorização)
    • credenciais do cliente: a solicitação é autorizada em nome do próprio aplicativo cliente (nenhum ID de usuário envolvido). É usado para comunicação máquina a máquina: RSconfia no cliente OAuth2 ( Fou G) que ele sabe o que faz com o recurso e fez verificações iniciais se um usuário final estiver envolvido

    Spring Security dá flexibilidade completa para implementar as várias opções acima. Algumas coisas a considerar, no entanto:

    • se Ffor executado no dispositivo do usuário final (React, Vue, Angular, aplicativos móveis, ...), agora é recomendado que ele não seja configurado como um cliente OAuth2 . Os próximos aplicativos que usam a next-authlib não são afetados porque o cliente OAuth2 está sendo executado no lado do servidor do aplicativo (uma instância do Node). Ele pode ser configurado como clientes confidenciais e manter os tokens seguros no servidor.
    • Gpode ser um OAuth2 BFF: um middleware no backend que faz a ponte entre a autorização baseada em sessão para aplicativos em execução em dispositivos de usuário final e a autorização baseada em token para servidores de recursos downstream. Eu escrevi um tutorial sobre Baeldung para configurar o Spring Cloud Gateway como um OAuth2 BFF : com oauth2Login(código de autorização e fluxos de token de atualização) e o TokenRelay=filtro (substitui os cookies de sessão pelo token de acesso na sessão ao rotear solicitações)
    • Gpode usar algo diferente do OAuth2 para autenticar usuários ( formLogin?) e usar um cliente OAuth2 registrationcom credenciais de cliente para autorizar suas solicitações paraRS
    • no caso em que Fé um cliente oauth2, a solicitação recebida por Gpode ser autorizada com um token de acesso. Se for desejado que Gautorize a solicitação que ele envia com o token que recebeu, então não há necessidade de configuração do cliente OAuth2 em G: o token é retirado do contexto de segurança (isso é algo que eu uso frequentemente para comunicação entre servidores de recursos na arquitetura de microsserviços)
    • é aceitável que seja configurado com duas entradas Gdiferentes nas propriedades do aplicativo com:registration
      • authorization_codepara autenticar usuários
      • client_credentialspara autorizar seu pedido deRS

    Em G, RestCliente WebClientas solicitações de autorização não estão diretamente vinculadas ao estado da sessão e devemos fornecer respectivamente ClientHttpRequestInterceptorou ExchangeFilterFunctionpara definir o cabeçalho de autorização com um Bearertoken.

    Por enquanto, o Spring Security fornece OAuth2ClientHttpRequestInterceptore ServerOAuth2AuthorizedClientExchangeFilterFunction( ServletOAuth2AuthorizedClientExchangeFilterFunctionao usar WebClientem um servlet). Aqueles definem o cabeçalho de autorização com um token obtido usando um cliente registration(pode ser um registro de código de autorização em um aplicativo com oauth2Loginou um registro com credenciais de cliente em qualquer tipo de aplicativo).

    Ao usar um registro com código de autorização, essas funções esperam que a sessão seja autorizada (o usuário já deve estar logado). Então, endpoints que delegam parte de seu processamento RSdevem ser protegidos com isAuthenticated()ou a solicitação interna será respondida com um 401.

    Isso 302 Redirect to loginacontece em aplicativos com oauth2Loginsomente se o endpoint que recebe uma solicitação estiver configurado com isAuthenticated()(ou exigir qualquer autoridade). As solicitações enviadas por um cliente REST interno a este aplicativo não são afetadas (o caso dos interceptadores de solicitação/funções de filtro referenciados acima e pelos quais você está puxando os cabelos).

    Se quisermos encaminhar o token de acesso no contexto de segurança, precisamos escrever um ClientHttpRequestInterceptorou ExchangeFilterFunctionnós mesmos (nada complicado).

    Criei um Spring Boot starter para autoconfigurar RestClientou WebClientbeans com autorização OAuth2 (e proxy HTTP se necessário) usando apenas propriedades do aplicativo. Você deveria dar uma olhada, pode facilitar sua vida, seja qual for a opção que escolher.

    • 2

  2. Após alguma discussão no GitHub com o OP, adicionei algum código para complementar a excelente resposta de @ch4mp.

    OP está usando org.springframework.web.client.RestClient. Até recentemente, ele não tinha suporte para OAuth, portanto, usar o cabeçalho Authorization era necessário.

        @GetMapping(value = "/messages-restclient-header")
    public String messagesUsingRestClientWithAuthHeader(
            Model model,
            @RegisteredOAuth2AuthorizedClient("messaging-client-oidc")
            OAuth2AuthorizedClient authorizedClient) {

        var bearerToken = "Bearer " + authorizedClient.getAccessToken().getTokenValue();

        String[] messages = restClient
                .get()
                .uri("/messages")
                .header(HttpHeaders.AUTHORIZATION, bearerToken)
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }

    Mas com o suporte RestClient para OAuth2 no Spring Security 6.4 , o RestClient pode ser configurado assim

    import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientManager;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientProviderBuilder;
import org.springframework.security.oauth2.client.registration.ClientRegistrationRepository;
import org.springframework.security.oauth2.client.web.DefaultOAuth2AuthorizedClientManager;
import org.springframework.security.oauth2.client.web.OAuth2AuthorizedClientRepository;
import org.springframework.security.oauth2.client.web.client.OAuth2ClientHttpRequestInterceptor;
import org.springframework.web.client.RestClient;

@Configuration
public class WebAndRestClientConfig {

    @Bean
    public RestClient restClient(
            RestClient.Builder builder,
            @Value("${messages.backend-base-uri}") String baseUri,
            OAuth2AuthorizedClientManager authorizedClientManager) {
        return builder
                .baseUrl(baseUri)
                .requestInterceptor(new OAuth2ClientHttpRequestInterceptor(authorizedClientManager))
                .build();
    }

    @Bean
    public OAuth2AuthorizedClientManager authorizedClientManager(
            ClientRegistrationRepository clientRegistrationRepository,
            OAuth2AuthorizedClientRepository authorizedClientRepository) {

        var authorizedClientProvider = OAuth2AuthorizedClientProviderBuilder.builder()
                .authorizationCode()
                .refreshToken()
                .clientCredentials()
                .build();

        var authorizedClientManager = new DefaultOAuth2AuthorizedClientManager(
                clientRegistrationRepository,
                authorizedClientRepository);

        authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
        return authorizedClientManager;
    }
}

    e o método do controlador pode ser alterado para este

        @GetMapping(value = "/messages-restclient-attrs")
    public String messagesUsingRestClientWithAttributes(Model model) {

        String[] messages = restClient
                .get()
                .uri("/messages")
                .attributes(clientRegistrationId("messaging-client-oidc"))
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }

    Código do controlador completo

    import org.springframework.http.HttpHeaders;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClient;
import org.springframework.security.oauth2.client.annotation.RegisteredOAuth2AuthorizedClient;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.client.RestClient;

import static org.springframework.security.oauth2.client.web.client.RequestAttributeClientRegistrationIdResolver.clientRegistrationId;

@Controller
public class MessagesController {
    private final RestClient restClient;

    public MessagesController(RestClient restClient) {
        this.restClient = restClient;
    }

    // https://spring.io/blog/2024/10/28/restclient-support-for-oauth2-in-spring-security-6-4
    @GetMapping(value = "/messages-restclient-attrs")
    public String messagesUsingRestClientWithAttributes(Model model) {

        String[] messages = restClient
                .get()
                .uri("/messages")
                .attributes(clientRegistrationId("messaging-client-oidc"))
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }

    @GetMapping(value = "/messages-restclient-header")
    public String messagesUsingRestClientWithAuthHeader(
            Model model,
            @RegisteredOAuth2AuthorizedClient("messaging-client-oidc")
            OAuth2AuthorizedClient authorizedClient) {

        var bearerToken = "Bearer " + authorizedClient.getAccessToken().getTokenValue();

        String[] messages = restClient
                .get()
                .uri("/messages")
                .header(HttpHeaders.AUTHORIZATION, bearerToken)
                .retrieve()
                .body(String[].class);

        model.addAttribute("messages", messages);

        return "index";
    }
}
    • 0

relate perguntas