Java Spring Security: 401 Unauthorized for token OAuth2 end point

Question

J'ai une configuration assez basique dans mon projet Spring Boot. J'essaie de configurer OAuth2 pour protéger mon API, mais je rencontre des problèmes avec mon /oauth/token point final. Faire une POST ou GET requête à mon /oauth/token le point final donne la réponse suivante (avec un 401 Unauthorized code d'état):

{ "timestamp": "2018-09-17T16:46:59.961+0000", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/oauth/token" }

Ceci est ma configuration de serveur d'autorisation.

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.approval.UserApprovalHandler; import org.springframework.security.oauth2.provider.token.TokenStore; @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private TokenStore tokenStore; @Autowired private UserApprovalHandler userApprovalHandler; @Autowired @Qualifier("authenticationManagerBean") private AuthenticationManager authenticationManager; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client_id") .secret("secret") .authorizedGrantTypes("password", "authorization_code", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(600) .refreshTokenValiditySeconds(3600); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.tokenStore(this.tokenStore) .userApprovalHandler(this.userApprovalHandler) .authenticationManager(this.authenticationManager); } @Override public void configure(AuthorizationServerSecurityConfigurer security) { security.tokenKeyAccess("permitAll()") .checkTokenAccess("isAuthenticated()") .passwordEncoder(this.passwordEncoder); } }

Ceci est ma configuration de serveur de ressources. Rien de significatif pour le moment:

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.TokenStore; public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Autowired private TokenStore tokenStore; @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.tokenStore(this.tokenStore); } }

Et enfin ma configuration de sécurité Web standard:

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.provider.ClientDetailsService; import org.springframework.security.oauth2.provider.approval.ApprovalStore; import org.springframework.security.oauth2.provider.approval.TokenApprovalStore; import org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler; import org.springframework.security.oauth2.provider.approval.UserApprovalHandler; import org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private ClientDetailsService clientDetailsService; @Autowired public void globalUserDetails(AuthenticationManagerBuilder builder) throws Exception { builder.inMemoryAuthentication() .withUser("user").password("password").roles("ADMIN") .and() .withUser("admin").password("password").roles("USER"); } @Override protected void configure(HttpSecurity security) throws Exception { security.csrf().disable() .anonymous().disable() .authorizeRequests() .antMatchers("/oauth/token").permitAll(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public TokenStore tokenStore() { return new InMemoryTokenStore(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(8); } @Bean @Autowired public UserApprovalHandler userApprovalHandler(TokenStore tokenStore) { TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler(); handler.setTokenStore(tokenStore); handler.setRequestFactory(new DefaultOAuth2RequestFactory(this.clientDetailsService)); handler.setClientDetailsService(this.clientDetailsService); return handler; } @Bean @Autowired public ApprovalStore approvalStore(TokenStore tokenStore) { TokenApprovalStore store = new TokenApprovalStore(); store.setTokenStore(tokenStore); return store; } }

Je me suis beaucoup amusé avec différents modèles de matcher pour voir si je peux le faire fonctionner mais je n'ai pas eu de chance. J'exécute ceci dans un contexte racine et un chemin de servlet sur http://localhost:8080.

Je peux confirmer que le point final est mappé dans la sortie lorsque Spring Boot se déclenche et essayer d'atteindre un point final légèrement différent entraîne un 404 attendu.

Jonathon · Accepted Answer

Il s'avère que je n'atteignais pas correctement le point final. J'envoyais toutes mes données, informations d'identification client incluses, via HTTP POST.

POST http://localhost:8080/oauth/token ... client_id=client_id&secret=secret&scope=read&grant_type=password&username=user&password=password

J'avais besoin d'utiliser HTTP Basic Auth pour envoyer mes informations d'identification client plutôt que de les poster:

POST http://localhost:8080/oauth/token Authorization: Basic Y2xpZW50X2lkOnNlY3JldA== ... scope=read&grant_type=password&username=user&password=password

kingGarfield · Answer

essayez de changer votre encodeur de mot de passe de votre classe AuthorizationServerConfig avec cet encodeur simple (il ne crypte pas les mots de passe) .parce que vous n'enregistrez pas le secret de votre client dans le stockage InMemory avec cryptage.

private PasswordEncoder getPasswordEncoder() { return new PasswordEncoder() { public String encode (CharSequence charSequence) { return charSequence.toString(); } public boolean matches(CharSequence charSequence, String s) { return true; } }; }

espérons que cela fonctionnera.