Lorsque vous utilisez OAuth 2.0 Resource Server JWT, vous rencontrez parfois des problèmes d'autorisation (autorisation). Il s’agit d’un défi auquel de nombreux développeurs sont souvent confrontés au cours du processus de développement. OAuth 2.0 est un standard ouvert d'autorisation qui permet aux utilisateurs d'autoriser des applications tierces à accéder à leurs ressources protégées. JWT (JSON Web Token) est un moyen de transmettre des revendications entre des applications Web. Cependant, dans la pratique, certains problèmes d'autorisation peuvent survenir, tels qu'un échec d'autorisation, un échec d'obtention de jetons d'accès, etc. Cet article analysera ces problèmes et fournira des solutions pour aider les développeurs à mieux utiliser le serveur de ressources OAuth 2.0 JWT.
Contenu de la question
J'essaie de configurer l'autorisation d'accès à l'aide du serveur de ressources oauth 2.0 jwt dans une application simple.
Toute la partie authentification fonctionne bien, mais j'ai des problèmes d'autorisation. Tous les points de terminaison protégés génèrent des erreurs 403 forbidden même si les autorisations correctes sont présentes dans le jeton.
J'ai essayé d'utiliser l'attribut scope (scope_) par défaut et de modifier la configuration en role (role_) mais le problème persiste.
Est-ce que quelqu'un sait comment le résoudre ?
Code source complet : https://github.com/gustavosc1/spring-security-jwt
Exemple de génération de jeton : eyjhbgcioijsuzi1nij9.eyjpc3mioijzchjpbmctc2vjdxjpdhktand0iiwic3viijoidxnlcm5hbwuilcjlehaioje3mdu0ndmyotqsimlhdci6mtcwntqwnzi5ncwicm9szxmi oijst0xfx0fe tuloin0.peivwrthx_7mr6eefqbid5dplhffzcvd7scmmt3f7rk7sk1i6kerpqi5ubdvaefnzsjq6vka5nadltsbqidfzogmoixjktfhsc5zrnyyrhikvnwcwb3wrgdd1ezgihaldfjxwxsyypau njwdxznirkl93e6mg1uao 5piy9p-9yp8jer7o31wkdr1coskzk3gqw42uecib9h1rrlkx9pdk7pf9rtfssfcwc-ntvismrycreco9rialqfydpdzeojimcbqveyboqfhn2woepgdm8mr5zsdhgdq e1ivsibfbcj_0486zuqiksxp2knilj hl2b 5qnan07fjpvslk--ccsg
Configuration de sécurité :
@configuration
@enablewebsecurity
//@enablemethodsecurity(prepostenabled = true)
public class securityconfig {
@value("${jwt.public.key}")
private rsapublickey key;
@value("${jwt.private.key}")
private rsaprivatekey priv;
@bean
securityfilterchain filterchain(httpsecurity http) throws exception {
http.csrf(csrf -> csrf.disable())
.authorizehttprequests(
auth -> auth
.requestmatchers("/authenticate").permitall()
.requestmatchers("/register").permitall()
.requestmatchers("/private").hasanyrole("admin"))
.httpbasic(customizer.withdefaults())
// https://docs-spring-io.translate.goog/spring-security/reference/servlet/oauth2/resource-server/jwt.html?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt-br&_x_tr_pto=sc
.oauth2resourceserver(
conf -> conf.jwt(
jwt -> jwt.decoder(jwtdecoder())
.jwtauthenticationconverter(jwtauthenticationconverter())));
return http.build();
}
@bean
public jwtauthenticationconverter jwtauthenticationconverter() {
jwtgrantedauthoritiesconverter grantedauthoritiesconverter = new jwtgrantedauthoritiesconverter();
grantedauthoritiesconverter.setauthoritiesclaimname("roles");
grantedauthoritiesconverter.setauthorityprefix("role_");
jwtauthenticationconverter jwtauthenticationconverter = new jwtauthenticationconverter();
jwtauthenticationconverter.setjwtgrantedauthoritiesconverter(grantedauthoritiesconverter);
return jwtauthenticationconverter;
}
@bean
jwtdecoder jwtdecoder() {
return nimbusjwtdecoder.withpublickey(this.key).build();
}
@bean
jwtencoder jwtencoder() {
jwk jwk = new rsakey.builder(this.key).privatekey(this.priv).build();
jwksource<securitycontext> jwks = new immutablejwkset<>(new jwkset(jwk));
return new nimbusjwtencoder(jwks);
}
@bean
passwordencoder passwordencoder() {
return new bcryptpasswordencoder();
}
}Copier après la connexion
service de détails utilisateurimpl :
@service
public class userdetailsserviceimpl implements userdetailsservice {
private final userrepository userrepository;
public userdetailsserviceimpl(userrepository userrepository) {
this.userrepository = userrepository;
}
@override
public userdetails loaduserbyusername(string username) throws usernamenotfoundexception {
optional<user> useroptional = userrepository.findbyusername(username);
user user = useroptional.orelsethrow(() -> new usernamenotfoundexception("user not found with username: " + username));
return new userauthenticated(user.getusername(), user.getpassword());
}
}Copier après la connexion
Utilisateur vérifié :
public class userauthenticated implements userdetails {
private string username;
private string password;
public userauthenticated(string username, string password) {
this.username = username;
this.password = password;
}
@override
public string getusername() {
return username;
}
@override
public string getpassword() {
return password;
}
@override
public collection<? extends grantedauthority> getauthorities() {
return list.of(() -> "role_admin");
}
@override
public boolean isaccountnonexpired() {
return true;
}
@override
public boolean isaccountnonlocked() {
return true;
}
@override
public boolean iscredentialsnonexpired() {
return true;
}
@override
public boolean isenabled() {
return true;
}
}Copier après la connexion
jwtservice :
@service
public class jwtservice {
private final jwtencoder encoder;
public jwtservice(jwtencoder encoder) {
this.encoder = encoder;
}
public string generatetoken(authentication authentication) {
instant now = instant.now();
long expiry = 36000l;
string scope = authentication
.getauthorities().stream()
.map(grantedauthority::getauthority)
.collect(collectors
.joining(" "));
jwtclaimsset claims = jwtclaimsset.builder()
.issuer("spring-security-jwt")
.issuedat(now)
.expiresat(now.plusseconds(expiry))
.subject(authentication.getname())
.claim("roles", scope)
.build();
return encoder.encode(
jwtencoderparameters.from(claims))
.gettokenvalue();
}
}Copier après la connexion
Contrôleur privé :
@RestController
@RequestMapping("private")
public class PrivateController {
@GetMapping
//@PreAuthorize("hasAuthority('ROLE_ADMIN')")
public String getMessage() {
return "Hello from private API controller";
}
}Copier après la connexion
Workaround
a généré le jeton fourni et le fera roles 字段设置为 ROLE_ADMIN。在 jwtAuthenticationConverter() 中,您尝试将 setAuthorityPrefix 与 ROLE 一起使用,导致 ROLE_ROLE_ADMIN.
Pour corriger cela, remplacez la ligne par grantedAuthoritiesConverter.setAuthorityPrefix("");.
Après avoir effectué ce réglage, le problème devrait être résolu. Si vous rencontrez d'autres problèmes, faites-le-moi savoir.
Attention :
Si cette étape est omise, le préfixe par défaut sera SCOPE,导致您的角色变为 SCOPE_ROLE_ADMIN.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
