Início / coding / Perguntas / 79489901
Accepted
bilak
Asked: 2025-03-06 23:45:00 +0800 CST

Escondendo keycloak atrás do spring cloud gateway e desabilitando a autenticação básica

  • 772

Gostaria de esconder o Keycloak atrás do spring cloud gateway, mas ainda usá-lo como provedor OIDC. Consegui permitir /autho endpoint (do keycloak) para isso, mas agora estou lutando com o http basic auth, que não sei como desabilitar. Toda vez que tento atingir qualquer outro endpoint que deveria ser protegido pelo keycloak, recebo login do formulário do navegador. Com a seguinte configuração

@Bean
@Order(1)
SecurityWebFilterChain publicEndpoints(final ServerHttpSecurity http) {
    return http.authorizeExchange(auth ->
                    auth.pathMatchers("/auth", "/auth/**").permitAll())
            .csrf(ServerHttpSecurity.CsrfSpec::disable)
            .cors(ServerHttpSecurity.CorsSpec::disable)
            .formLogin(ServerHttpSecurity.FormLoginSpec::disable)
            .headers(c -> c.frameOptions(ServerHttpSecurity.HeaderSpec.FrameOptionsSpec::disable))
            .httpBasic(basic ->
                    basic.authenticationEntryPoint(new HttpStatusServerEntryPoint(HttpStatus.UNAUTHORIZED)))
            .build();
}

@Bean
@Order(2)
SecurityWebFilterChain springSecurityFilterChain(final ServerHttpSecurity http) {
    return http.authorizeExchange(auth -> auth.anyExchange().authenticated())
            .oauth2Login(withDefaults())
            .oauth2ResourceServer((oauth2) -> oauth2.jwt(withDefaults()))
            .csrf(ServerHttpSecurity.CsrfSpec::disable)
            .cors(ServerHttpSecurity.CorsSpec::disable)
            .formLogin(ServerHttpSecurity.FormLoginSpec::disable)
            .headers(c -> c.frameOptions(ServerHttpSecurity.HeaderSpec.FrameOptionsSpec::disable))
            //.httpBasic(ServerHttpSecurity.HttpBasicSpec::disable)
            .build();

}

Recebo erro na inicialização do aplicativo:

Caused by: org.springframework.beans.BeanInstantiationException: Failed to instantiate [org.springframework.security.web.server.SecurityWebFilterChain]: Factory method 'publicEndpoints' threw exception with message: authenticationManager cannot be null
2025-03-06T15:35:01.907890843Z  at org.springframework.beans.factory.support.SimpleInstantiationStrategy.lambda$instantiate$0(SimpleInstantiationStrategy.java:199) ~[spring-beans-6.2.3.jar:6.2.3]
2025-03-06T15:35:01.907892426Z  at org.springframework.beans.factory.support.SimpleInstantiationStrategy.instantiateWithFactoryMethod(SimpleInstantiationStrategy.java:88) ~[spring-beans-6.2.3.jar:6.2.3]
2025-03-06T15:35:01.907893385Z  at org.springframework.beans.factory.support.SimpleInstantiationStrategy.instantiate(SimpleInstantiationStrategy.java:168) ~[spring-beans-6.2.3.jar:6.2.3]
2025-03-06T15:35:01.907894343Z  at org.springframework.beans.factory.support.ConstructorResolver.instantiate(ConstructorResolver.java:653) ~[spring-beans-6.2.3.jar:6.2.3]
2025-03-06T15:35:01.907895260Z  ... 39 common frames omitted

já que não quero usar nenhum gerenciador de autenticação, publicEndpointsnão entendo como configurá-lo para desabilitar o login do formulário e usar oauth

spring-boot

1 respostas

  1. Best Answer

    Ao usar mais de uma cadeia de filtros, todos, exceto o último, @Orderdevem conter uma securityMatcherdefinição para limitar as solicitações às quais ele é aplicado, ou o próximo @Ordernunca será tentado. Então, no seu caso, adicione .securityMatcher(...)à sua 1ª cadeia de filtros.

    A propósito, há dois problemas com sua segunda cadeia de filtros:

    • você não deve misturar autorização de solicitação com estado (baseada em sessão como oauth2Login& formLogin) e sem estado (sem sessão como oauth2ResourceServer& basic) na mesma cadeia de filtros
    • você não deve desabilitar a proteção CSRF em uma cadeia de filtros com estado (sua segunda cadeia de filtros tem estado por causa de oauth2Login)
    • 0

relate perguntas