避坑指南(一):Spring Security Oauth2中refresh_token刷新access_token异常
问题
Spring Security Oauth2中,当access_token即将过期时,需要调用/oauth/token,使用refresh_token刷新access_token,此时会存在一个坑:
即如果使用Spring Security框架默认生成的AuthenticationManager时,接口调用异常。
具体报错信息为如下:
No AuthenticationProvider found for org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationToken分析
为了解决此问题,翻阅了一些源码及资料,发现端倪在于tokenServices。
使用默认tokenServices
首先是AuthorizationServerEndpointsConfigurer中框架创建tokenServices的逻辑。
如果没有指定tokenServices,则创建默认的tokenServices,即DefaultTokenServices:
具体创建默认的tokenServices逻辑:
注意,默认创建的tokenServices并没有初始化authenticationManager,这里是重点,下面会用到。
其次,DefaultTokenServices中刷新access_token的逻辑。
关于user再次认证的部分逻辑如下:
如上所述,默认的tokenServices因为没有设置authenticationManager,所以不会走此逻辑,也就不会再次对用户进行认证。
tokenServices自定义
自定义tokenServices逻辑如下:
@Bean public DefaultTokenServices defaultTokenServices() throws Exception {DefaultTokenServices defaultTokenServices = new DefaultTokenServices();defaultTokenServices.setAuthenticationManager(this.authenticationManager);defaultTokenServices.setTokenStore(jdbcTokenStore());defaultTokenServices.setClientDetailsService(jdbcClientDetailsServiceBuilder());// access token有效期2个小时defaultTokenServices.setAccessTokenValiditySeconds(60 * 60 * 2);// refresh token有效期30天defaultTokenServices.setRefreshTokenValiditySeconds(60 * 60 * 24 * 30);// 支持使用refresh token刷新access tokendefaultTokenServices.setSupportRefreshToken(true);// 允许重复使用refresh tokendefaultTokenServices.setReuseRefreshToken(true);return defaultTokenServices;}
由于设置了自定义的authenticationManager,且此时身份认证模式为password,所以满足刷新access_token令牌时,针对用户进行的二次认证条件(文章开始处已说明),则会触发二次用户认证。
此时,若采用Spring Security框架默认的authenticationManager,则必然会爆出文章开头处描述的问题。因为框架默认的authenticationManager只包含一个DaoAuthenticationProvider。
Spring Security Oauth2框架中,存在一个开发者实现好的能认证PreAuthenticatedAuthenticationToken的Provider:PreAuthenticatedAuthenticationProvider。
但是,Spring Security框架并没有在默认authenticationManager中初始化,所以,DefaultTokenServices在执行刷新方法时,在二次认证的地方便会报错。
知道了问题的根本,就容易解决,添加PreAuthenticatedAuthenticationProvider到authenticationManager中应该就可以完美解决了。
关于如何authenticationManager配置,方法多种多样,如覆盖掉Spring Security框架默认逻辑,或者完全自定义,都可以。本文不再赘述,后续也会出文章,详细阐述Spring Security如何配置,结合Spring Security Oauth2如何配置等等。
下面附上PreAuthenticatedAuthenticationProvider定义逻辑:
private PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider() {
PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider = new PreAuthenticatedAuthenticationProvider();
preAuthenticatedAuthenticationProvider.setPreAuthenticatedUserDetailsService(new UserDetailsByNameServiceWrapper(userDetailsService));
return preAuthenticatedAuthenticationProvider;
}
不得不说,Spring Security框架确实非常复杂,设计真是巧夺天工,不得不佩服设计者和开发者,由衷的赞叹!
正文完!
本文系【银河架构师】原创,如需转载请在文章明显处注明作者及出处。
微信搜索【银河架构师】,发现更多精彩内容。
技术资料领取方法:关注公众号,回复微服务,领取微服务相关电子书;回复MK精讲,领取MK精讲系列电子书;回复JAVA 进阶,领取JAVA进阶知识相关电子书;回复JAVA面试,领取JAVA面试相关电子书,回复JAVA WEB领取JAVA WEB相关电子书。
