Spring Boot中OAuth2与Basic Auth共存配置指南-java教程-PHP中文网

Spring Boot中OAuth2与Basic Auth共存配置指南

在spring boot应用中同时启用oauth2资源服务器和http basic认证时，spring security的自动配置可能会导致basic认证失效。本文将深入探讨此问题根源，即oauth2相关bean的存在会阻止`userdetailsservice`的自动创建，并提供通过手动定义`inmemoryuserdetailsmanager` bean来解决此问题的详细教程，确保两种认证机制能协同工作。

Spring Boot中OAuth2与Basic Auth共存的挑战

在Spring Boot项目中，当您尝试同时保护部分资源使用OAuth2/OIDC，而另一部分资源使用HTTP Basic认证时，可能会遇到Basic认证失效的问题，即使在application.yaml中配置了spring.security.user属性。具体表现为，Basic认证保护的端点总是返回HTTP 401 Unauthorized错误。

这个问题通常发生在Spring Security的自动配置机制中。Spring Boot提供了便利的自动配置，例如当检测到spring.security.user配置时，会自动创建一个InMemoryUserDetailsManager Bean来处理内存中的用户认证。然而，当项目中存在OAuth2相关的Bean（例如JwtDecoder、OpaqueTokenIntrospector或ClientRegistrationRepository）时，Spring Boot的UserDetailsServiceAutoConfiguration会因为@ConditionalOnMissingBean注解的条件不满足而“退避”，即停止自动创建UserDetailsService Bean。这意味着，即使您在application.yaml中配置了用户，这些配置也不会被Spring Security识别和使用，从而导致Basic认证无法正常工作。

解决方案：手动配置UserDetailsService

解决此问题的核心是手动定义一个UserDetailsService Bean，以确保Spring Security能够找到并使用它来处理Basic认证的用户。对于简单的内存用户，我们可以使用InMemoryUserDetailsManager。

1. 定义InMemoryUserDetailsService Bean

在您的Spring配置类中（例如DemoSecurityConfiguration或一个新的配置类），添加一个@Bean方法来创建并返回UserDetailsService实例。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.factory.PasswordEncoderFactories; // 推荐使用

@Configuration
public class SecurityUserConfiguration {

    @Bean
    public UserDetailsService inMemoryUserDetailsService(PasswordEncoder passwordEncoder) {
        // 定义一个名为"demo"，密码为"demo"，角色为"demo"的用户
        UserDetails demoUser = User.withUsername("demo")
                                   .password(passwordEncoder.encode("demo")) // 密码需要编码
                                   .roles("demo")
                                   .build();
        return new InMemoryUserDetailsManager(demoUser);
    }

    // 推荐显式定义PasswordEncoder，Spring Security 5.0+ 要求
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 使用DelegatingPasswordEncoder，它支持多种编码格式，并自动选择
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}

登录后复制

重要提示：密码编码

从Spring Security 5.0开始，要求所有密码都必须经过编码。如果您提供的密码是明文，Spring Security会抛出IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"。

开发/演示环境： 为了方便，可以使用{noop}前缀告诉PasswordEncoder该密码无需编码。例如：.password("{noop}demo")。但这仅适用于非生产环境。
生产环境： 强烈建议使用安全的密码编码器，如BCryptPasswordEncoder。PasswordEncoderFactories.createDelegatingPasswordEncoder()是Spring Security推荐的方式，它会根据密码前缀自动选择合适的编码器（例如{bcrypt}password）。

在上述示例中，我们显式定义了PasswordEncoder Bean并将其注入到inMemoryUserDetailsService方法中，确保密码被正确编码。

2. 调整Security配置类

确保您的WebSecurityConfigurerAdapter配置类正确地分层和匹配路径。在提供的示例中，使用了@Order注解来定义安全配置的优先级，这是处理多个安全配置链的推荐方式。

秒哒

秒哒-不用代码就能实现任意想法

349

查看详情

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.core.env.Environment;
import org.springframework.security.authentication.DefaultOAuth2AuthenticatedPrincipal;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.server.resource.introspection.NimbusOpaqueTokenIntrospector;
import org.springframework.security.oauth2.server.resource.introspection.OAuth2AuthenticatedPrincipal;
import org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector;

import java.util.Collection;
import java.util.Collections;

public class DemoSecurityConfiguration {

    @Configuration
    @Order(10) // 较低的优先级，先匹配更具体的路径
    @EnableWebSecurity
    public static class HelloWorldBasicSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/helloworld")
                .authorizeRequests().anyRequest().authenticated() // 任何请求都需要认证
                .and()
                .httpBasic(); // 启用HTTP Basic认证
        }
    }

    @Configuration
    @Order(0) // 较高的优先级，后匹配通用或OAuth2路径
    @EnableWebSecurity
    public static class ResourceSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
        @Autowired
        private Environment environment;

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/resource")
                .oauth2ResourceServer(oauth2 -> oauth2.opaqueToken(
                        opaqueToken -> opaqueToken.introspector(new DemoAuthoritiesOpaqueTokenIntrospector())))
                .authorizeRequests().anyRequest().authenticated(); // 任何请求都需要认证
        }

        private class DemoAuthoritiesOpaqueTokenIntrospector implements OpaqueTokenIntrospector {
            private final OpaqueTokenIntrospector delegate;
            private final String demoClientId;

            public DemoAuthoritiesOpaqueTokenIntrospector() {
                String introSpectionUri = environment
                        .getProperty("spring.security.oauth2.resourceserver.opaque-token.introspection-uri");
                String clientId = environment
                        .getProperty("spring.security.oauth2.resourceserver.opaque-token.client-id");
                String clientSecret = environment
                        .getProperty("spring.security.oauth2.resourceserver.opaque-token.client-secret");
                demoClientId = environment.getProperty("demo.security.oauth2.credentials-grant.client-id");

                delegate = new NimbusOpaqueTokenIntrospector(introSpectionUri, clientId, clientSecret);
            }

            @Override
            public OAuth2AuthenticatedPrincipal introspect(String token) {
                OAuth2AuthenticatedPrincipal principal = this.delegate.introspect(token);
                return new DefaultOAuth2AuthenticatedPrincipal(principal.getName(), principal.getAttributes(),
                        extractAuthorities(principal));
            }

            private Collection<GrantedAuthority> extractAuthorities(OAuth2AuthenticatedPrincipal principal) {
                String userId = principal.getAttribute("client_id");
                if (demoClientId.equals(userId)) {
                    return Collections.singleton(new SimpleGrantedAuthority("ROLE_oauth2"));
                }
                return Collections.emptySet();
            }
        }
    }
}

登录后复制

配置说明：

@Order注解： 具有较低@Order值的配置类（如@Order(0)）会优先被Spring Security处理。这意味着它会先尝试匹配其antMatcher。对于更具体的路径（如/helloworld），通常会赋予更高的@Order值，让它在其他更通用的配置之后被处理。在本例中，/resource的OAuth2配置优先级更高（@Order(0)），/helloworld的Basic Auth配置优先级较低（@Order(10)），这确保了/helloworld能够被Basic Auth配置捕获。
antMatcher()： 精确匹配请求路径，确保不同的安全配置链只作用于其负责的路径。
.authorizeRequests().anyRequest().authenticated()： 确保匹配到此配置链的任何请求都需要认证。

3. application.yaml配置

application.yaml中的OAuth2相关配置保持不变。关于Basic认证的用户配置，由于我们已经手动定义了UserDetailsService Bean，spring.security.user下的配置将不再起作用，可以移除或忽略。

spring:
  security:
    oauth2:
      resourceserver:
        opaque-token:
          introspection-uri: "https://...oauth2" # 替换为您的OAuth2内省端点
          client-id: "abba"
          client-secret: "secret"

demo:
  security:
    oauth2:
      credentials-grant:
        client-id: "rundmc"

登录后复制

验证与测试

完成上述配置后，您可以启动Spring Boot应用程序并进行测试：

测试Basic Auth端点 (/helloworld)： 使用curl或其他HTTP客户端，发送带有Basic认证头的请求：
```
curl -v -u demo:demo http://localhost:8080/helloworld
```
登录后复制
预期结果：HTTP 200 OK，并返回 "Hello World!"。
测试OAuth2端点 (/resource)： 首先，从您的OAuth2服务器获取一个有效的Bearer Token。然后发送带有Bearer Token的请求：
```
curl -v -H "Authorization: Bearer YOUR_VALID_OAUTH2_TOKEN" http://localhost:8080/resource
```
登录后复制
预期结果：HTTP 200 OK，并返回 "Protected resource"。

注意事项与最佳实践

生产环境密码编码： 永远不要在生产环境中使用{noop}密码编码器。请使用BCryptPasswordEncoder或其他强密码哈希算法。
角色管理： 确保@PreAuthorize注解中的角色（例如hasRole('demo')和hasRole('oauth2')）与您的认证逻辑中分配的角色一致。在OAuth2的例子中，DemoAuthoritiesOpaqueTokenIntrospector负责将client_id映射到ROLE_oauth2。
安全配置顺序： 当有多个WebSecurityConfigurerAdapter时，@Order注解至关重要。通常，更具体的路径匹配器应该有更高的@Order值（即数字更大，优先级更低），以确保它们在更通用的匹配器之前被评估。然而，Spring Security的过滤器链处理顺序是按照@Order值从小到大排列的，这意味着@Order(0)的配置会先执行。因此，需要仔细设计匹配规则和顺序，以避免冲突。在上述示例中，/resource的OAuth2配置优先级更高（@Order(0)），它会首先尝试匹配。如果请求不是/resource，则会交给下一个配置链（@Order(10)）处理/helloworld。
自定义UserDetailsService： 对于更复杂的认证需求，例如从数据库加载用户信息，您需要实现自己的UserDetailsService接口，并将其注册为Spring Bean。

总结

在Spring Boot应用中同时使用OAuth2资源服务器和HTTP Basic认证时，Spring Security的自动配置行为可能会导致Basic认证的用户配置失效。通过手动定义InMemoryUserDetailsManager Bean并确保密码正确编码，我们可以有效地解决这个问题，使两种认证机制在同一个应用程序中和谐共存。理解Spring Security的自动配置条件和多WebSecurityConfigurerAdapter的@Order机制是成功实现此类混合认证的关键。

以上就是Spring Boot中OAuth2与Basic Auth共存配置指南的详细内容，更多请关注php中文网其它相关文章！