“L'accès est refusé (l'utilisateur n'est pas anonyme)” avec ressort de sécurité-oauth2

Je suis nouveau sur le Printemps de Sécurité et d'authentification Oauth, et je suis en train de configurer un exemple simple de protéger l'accès à des ressources en chemin "/api" avec Oauth2. Je suis l'aide de printemps-sécurité-oauth2-1.0.0.RC2. Après un certain temps à traiter avec la configuration, je suis en mesure d'obtenir des jetons, mais lorsque j'essaie d'envoyer des demandes à "/api" de ressources, je suis confronté à deux questions:

D'abord, je suis l'envoi d'en-tête d'autorisation avec "OAuth2" préfixe, mais le printemps-sécurité-oauth2 semble avoir besoin des en-têtes "au Porteur" préfixe dans les jetons pour les trouver. Quelle est la différence entre ces jetons?
Après le Printemps validé le jeton, je reçois un message d'erreur: "ExceptionTranslationFilter - l'Accès est refusé (l'utilisateur n'est pas anonyme)" et je suis bloqué avec ce problème. Depuis que je suis en utilisant InMemory jeton de magasin, j'ai à vous connecter à chaque fois à autoriser le client, puis j'obtiens cette erreur. Voici la configuration spring:

<http pattern="/api/**" create-session="never" entry-point-ref="oauthAuthenticationEntryPoint"
    access-decision-manager-ref="accessDecisionManager" xmlns="http://www.springframework.org/schema/security">
    <anonymous enabled="false" />
    <intercept-url pattern="/api/**" access="ROLE_CLIENT,SCOPE_READ" />
    <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
    <access-denied-handler ref="oauthAccessDeniedHandler" />
</http>

<http disable-url-rewriting="true" xmlns="http://www.springframework.org/schema/security">
    <intercept-url pattern="/oauth/**" access="ROLE_USER" />
    <!--intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" /-->
    <form-login/>
    <logout logout-success-url="/index.jsp" logout-url="/logout" />
</http>

<bean id="oauthAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
    <property name="realmName" value="O2Server" />
</bean>

<bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />

<bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
    <property name="authenticationManager" ref="clientAuthenticationManager" />
</bean>

<bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased" xmlns="http://www.springframework.org/schema/beans">
    <constructor-arg>
        <list>
            <bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />
            <bean class="org.springframework.security.access.vote.RoleVoter" />
            <bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
        </list>
    </constructor-arg>
</bean>

<authentication-manager id="clientAuthenticationManager" xmlns="http://www.springframework.org/schema/security">
    <authentication-provider user-service-ref="clientDetailsUserService" />
</authentication-manager>

<authentication-manager alias="authenticationManager" xmlns="http://www.springframework.org/schema/security">
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER" />
        </user-service>
    </authentication-provider>
</authentication-manager>

<bean id="clientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
    <constructor-arg ref="clientDetails" />
</bean>

<bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.InMemoryTokenStore" />

<bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
    <property name="tokenStore" ref="tokenStore" />
    <property name="supportRefreshToken" value="true" />
    <property name="clientDetailsService" ref="clientDetails"/>
</bean>

<bean id="userApprovalHandler" class="org.o2server.security.O2ServerUserApprovalHandler">
    <property name="tokenServices" ref="tokenServices" />
</bean>

<oauth:authorization-server client-details-service-ref="clientDetails" token-services-ref="tokenServices" user-approval-handler-ref="userApprovalHandler">
    <oauth:authorization-code />
    <oauth:implicit />
    <oauth:refresh-token />
    <oauth:client-credentials />
    <oauth:password />
</oauth:authorization-server>

<oauth:resource-server id="resourceServerFilter" resource-id="O2Server" token-services-ref="tokenServices" />

<oauth:client-details-service id="clientDetails">
    <oauth:client client-id="O2Client" resource-ids="O2Server" authorized-grant-types="authorization_code,refresh_token,implicit"
        authorities="ROLE_CLIENT" scope="read,write" secret="secret" />
</oauth:client-details-service>

<oauth:web-expression-handler id="oauthWebExpressionHandler" />

C'est le log du serveur:

11:58:30.366 [DEBUG] FilterSecurityInterceptor - Secure object: FilterInvocation: URL: /api/user/; Attributes: [ROLE_CLIENT, SCOPE_READ]
11:58:30.366 [DEBUG] FilterSecurityInterceptor - Previously Authenticated: org.springframework.security.oauth2.provider.OAuth2Authentication@48a94464: Principal: org.springframework.security.core.userdetails.User@346448: Username: paul; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_USER; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails@43794494; Granted Authorities: ROLE_USER
11:58:30.366 [DEBUG] UnanimousBased - Voter: org.springframework.security.oauth2.provider.vote.ScopeVoter@4e857327, returned: 0
11:58:30.366 [DEBUG] UnanimousBased - Voter: org.springframework.security.access.vote.RoleVoter@1b4b2db7, returned: -1
11:58:30.367 [DEBUG] ExceptionTranslationFilter - Access is denied (user is not anonymous); delegating to AccessDeniedHandler <org.springframework.security.access.AccessDeniedException: Access is denied>org.springframework.security.access.AccessDeniedException: Access is denied
    at org.springframework.security.access.vote.UnanimousBased.decide(UnanimousBased.java:90)

S'il vous plaît, pourriez-vous me donner quelques conseils?

Vous en remercie d'avance.

InformationsquelleAutor javierhe | 2012-08-22

oauth-2.0 spring-security

1

Je n'ai jamais utilisé oauth plugin, mais à la lecture de la sortie de débogage je peux dire que RoleVoter retourné -1, ce qui signifie que l'accès a été refusé par DecisionVoter. Je vois que vous avez accordé seulement ROLE_USER principal qui est d'essayer d'accéder à l'url /api/user/, qui est garanti par les [ROLE_CLIENT, SCOPE_READ] et c'est la raison pour laquelle l'accès a été refusé.

Accorder ROLE_CLIENT et SCOPE_READ de capital ou de changement <intercept-url pattern="/api/**" access="ROLE_CLIENT,SCOPE_READ" />.
- Merci Xaerxess, je suppose que vous voulez dire de modifier la règle de access=ROLE_USER, parce que maintenant il est avec ROLE_CLIENT.Je ne suis pas sûr, mais je pense que j'ai seulement besoin d'un jeton d'accès oauth des ressources, et le directeur d'école devra obtenir le ROLE_CLIENT, mais comme je suis novice je ne sais pas comment y parvenir, je dois avoir manqué quelques autres config.
- Semble de code que toute la magie devrait être dans ClientDetailsUserDetailsService - pouvez-vous de débogage et de vérifier si clientDetailsService.loadClientByClientId(username) retourne corriger les autorités? Je pense que le printemps forums serait le meilleur endroit SP pour un problème comme celui-ci.
InformationsquelleAutor Xaerxess
1

Comme Xaerxess dit, vous devriez changer votre intercepter les url d'accès à la propriété pour ROLE_USER.
```
<intercept-url pattern="/api/**" access="ROLE_CLIENT,SCOPE_READ" />
```
à
```
<intercept-url pattern="/api/**" access="ROLE_USER,SCOPE_READ" />
```
L'accès à la propriété contrôle la rôle de l'utilisateur (ce que le client agit pour le compte d').

La documentation de l' autorités (ROLE_CLIENT) propriété de la balise <oauth:client> états:

Pouvoirs qui lui sont conférés au client (séparées par des virgules). Distinctes
de la part des autorités accordée à l'utilisateur au nom duquel le client
agit.

Également, en fonction de l'utilisateur Dave Syer:

Si vous n'avez pas modifié Tonr, il n'agit pas comme un client, il s'agit
pour le compte d'un utilisateur (qui n'auront pas le nécessaire ROLE_CLIENT), de sorte
il est prévu que vous obtenez une 403. Si vous voulez faire un
affirmation à propos de la demande de tonr être à partir d'un client avec une
rôle spécifique (sans modification de l'application), vous pouvez utiliser une expression,
par exemple, "oauthClientHasRole('ROLE_CLIENT') et hasScope ("fiducie")".

Source:
http://forum.springsource.org/showthread.php?125468-confusing-between-ROLE_USER-ROLE_CLIENT
- Merci à vous, avec vos commentaires, j'ai enfin réussi, même si j'ai encore des doutes entre les deux types d'en-tête (OAuth2 ou au Porteur). Malheureusement, le projet qui j'ai été en utilisant OAuth2 est en attente maintenant, donc je ne peux pas continuer à travailler sur elle pour le moment
InformationsquelleAutor laffuste

Vous devez vous connecter pour publier un commentaire.