Spring安全性OAuth2接受JSON

Question

我从Spring OAuth2开始。 我想以app / json格式将用户名和密码发送到POST正文中的/ oauth / token端点。

curl -X POST -H "Authorization: Basic YWNtZTphY21lc2VjcmV0" -H "Content-Type: application/json" -d '{
"username": "user",
"password": "password",
"grant_type": "password"
}' "http://localhost:9999/api/oauth/token"

那可能吗？

你能给我一个建议吗？

Answer 1

解决方案（不确定是否正确，但它是否正常工作）：

资源服务器配置：

@Configuration
public class ServerEndpointsConfiguration extends ResourceServerConfigurerAdapter {

    @Autowired
    JsonToUrlEncodedAuthenticationFilter jsonFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .addFilterBefore(jsonFilter, ChannelProcessingFilter.class)
            .csrf().and().httpBasic().disable()
            .authorizeRequests()
            .antMatchers("/test").permitAll()
            .antMatchers("/secured").authenticated();
    }
}

过滤：

@Component
@Order(value = Integer.MIN_VALUE)
public class JsonToUrlEncodedAuthenticationFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
            ServletException {
        if (Objects.equals(request.getContentType(), "application/json") && Objects.equals(((RequestFacade) request).getServletPath(), "/oauth/token")) {
            InputStream is = request.getInputStream();
            ByteArrayOutputStream buffer = new ByteArrayOutputStream();

            int nRead;
            byte[] data = new byte[16384];

            while ((nRead = is.read(data, 0, data.length)) != -1) {
                buffer.write(data, 0, nRead);
            }
            buffer.flush();
            byte[] json = buffer.toByteArray();

            HashMap<String, String> result = new ObjectMapper().readValue(json, HashMap.class);
            HashMap<String, String[]> r = new HashMap<>();
            for (String key : result.keySet()) {
                String[] val = new String[1];
                val[0] = result.get(key);
                r.put(key, val);
            }

            String[] val = new String[1];
            val[0] = ((RequestFacade) request).getMethod();
            r.put("_method", val);

            HttpServletRequest s = new MyServletRequestWrapper(((HttpServletRequest) request), r);
            chain.doFilter(s, response);
        } else {
            chain.doFilter(request, response);
        }
    }

    @Override
    public void destroy() {
    }
}

请求包装器：

public class MyServletRequestWrapper extends HttpServletRequestWrapper {
    private final HashMap<String, String[]> params;

    public MyServletRequestWrapper(HttpServletRequest request, HashMap<String, String[]> params) {
        super(request);
        this.params = params;
    }

    @Override
    public String getParameter(String name) {
        if (this.params.containsKey(name)) {
            return this.params.get(name)[0];
        }
        return "";
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        return this.params;
    }

    @Override
    public Enumeration<String> getParameterNames() {
        return new Enumerator<>(params.keySet());
    }

    @Override
    public String[] getParameterValues(String name) {
        return params.get(name);
    }
}

授权服务器配置（禁用/ oauth / token端点的基本身份验证：

    @Configuration
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    ...

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.allowFormAuthenticationForClients(); // Disable /oauth/token Http Basic Auth
    }

    ...

}

Answer 2

从OAuth 2规范来看，

客户端通过发送请求向令牌端点发出请求
以下参数使用“application / x-www-form-urlencoded”

访问令牌请求应使用application/x-www-form-urlencoded 。

在Spring安全性中，资源所有者密码凭据授权流由Spring Security中的ResourceOwnerPasswordTokenGranter#getOAuth2Authentication处理：

protected OAuth2Authentication getOAuth2Authentication(AuthorizationRequest clientToken) {
    Map parameters = clientToken.getAuthorizationParameters();
    String username = (String)parameters.get("username");
    String password = (String)parameters.get("password");
    UsernamePasswordAuthenticationToken userAuth = new UsernamePasswordAuthenticationToken(username, password);

您可以发送username和password来请求参数。

如果您确实需要使用JSON，则有一种解决方法。 如您所见，从请求参数中检索username和password 。 因此，如果将它们从JSON主体传递到请求参数，它将起作用。

这个想法如下：

创建自定义弹簧安全筛选器。
在自定义过滤器中，创建一个类来子类化HttpRequestWrapper 。 该类允许您包装原始请求并从JSON获取参数。
在HttpRequestWrapper的子类中，在请求体中解析您的JSON以获取username ， password和grant_type ，并将它们与原始请求参数一起放入新的HashMap 。 然后，覆盖getParameterValues ， getParameter ， getParameterNames和getParameterMap以从新的HashMap返回值
将您的包装请求传递到过滤器链中。
在Spring Security Config中配置自定义筛选器。

希望这可以提供帮助

Answer 3

您也可以修改@ jakub-kopřiva解决方案以支持oauth的http basic auth。

资源服务器配置：

@Configuration
public class ServerEndpointsConfiguration extends ResourceServerConfigurerAdapter {

    @Autowired
    JsonToUrlEncodedAuthenticationFilter jsonFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .addFilterAfter(jsonFilter, BasicAuthenticationFilter.class)
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/test").permitAll()
            .antMatchers("/secured").authenticated();
    }
}

使用内部RequestWrapper进行过滤

@Component
public class JsonToUrlEncodedAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        if (Objects.equals(request.getServletPath(), "/oauth/token") && Objects.equals(request.getContentType(), "application/json")) {

            byte[] json = ByteStreams.toByteArray(request.getInputStream());

            Map<String, String> jsonMap = new ObjectMapper().readValue(json, Map.class);;
            Map<String, String[]> parameters =
                    jsonMap.entrySet().stream()
                            .collect(Collectors.toMap(
                                    Map.Entry::getKey,
                                    e ->  new String[]{e.getValue()})
                            );
            HttpServletRequest requestWrapper = new RequestWrapper(request, parameters);
            filterChain.doFilter(requestWrapper, response);
        } else {
            filterChain.doFilter(request, response);
        }
    }


    private class RequestWrapper extends HttpServletRequestWrapper {

        private final Map<String, String[]> params;

        RequestWrapper(HttpServletRequest request, Map<String, String[]> params) {
            super(request);
            this.params = params;
        }

        @Override
        public String getParameter(String name) {
            if (this.params.containsKey(name)) {
                return this.params.get(name)[0];
            }
            return "";
        }

        @Override
        public Map<String, String[]> getParameterMap() {
            return this.params;
        }

        @Override
        public Enumeration<String> getParameterNames() {
            return new Enumerator<>(params.keySet());
        }

        @Override
        public String[] getParameterValues(String name) {
            return params.get(name);
        }
    }
}

此外，您还需要允许x-www-form-urlencoded身份验证

    @Configuration
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    ...

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.allowFormAuthenticationForClients();
    }

    ...

}

使用这种方法，您仍然可以使用基本身份验证来获取oauth令牌，并使用json请求令牌，如下所示：

标题：

Authorization: Basic bG9yaXpvbfgzaWNwYQ==

身体：

{
    "grant_type": "password", 
    "username": "admin", 
    "password": "1234"
}

Answer 4

使用Spring Security 5，我只需添加.allowFormAuthenticationForClients（）+另一个答案中提到的JsontoUrlEncodedAuthenticationFilter，除了x-form post数据外，还要接受json。 无需注册资源服务器或任何其他内容。

Answer 5

您可以修改@ jakub-kopřiva解决方案，仅使用以下代码实现授权服务器。

 @Configuration
 @Order(Integer.MIN_VALUE)
 public class AuthorizationServerSecurityConfiguration
    extends org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerSecurityConfiguration {

      @Autowired
      JsonToUrlEncodedAuthenticationFilter jsonFilter;

      @Override
      protected void configure(HttpSecurity httpSecurity) throws Exception {
             httpSecurity
                   .addFilterBefore(jsonFilter, ChannelProcessingFilter.class);
             super.configure(httpSecurity);
      }

}

Answer 6

您好基于@JakubKopřiva回答我已经做了改进，以创建有效的集成测试。 您知道，Catalina RequestFacade在Junit中抛出一个错误，并且mockmvc使用的MockHttpServletRequest不包含我在过滤器中预期的字段“request”（因此在使用getDeclaredField（）时抛出NoSuchFieldException）： Field f = request.getClass().getDeclaredField("request");
这就是我使用“Rest Assured”的原因。 但是在这一点上我遇到了另一个问题，即无论出于何种原因，'application / json'中的内容类型被覆盖到'application / json; charset = utf8'即使我使用MediaType.APPLICATION_JSON_VALUE 。 但是，该条件会查找类似于'application / json; charset = UTF-8'的内容，它位于MediaType.APPLICATION_JSON_UTF8_VALUE ，总之，这将始终为false。
因此，当我用PHP编码时，我的行为与以往一样，并且我对字符串进行了规范化（所有字符都是小写，没有空格）。 在此之后，集成测试最终通过。

---- JsonToUrlEncodedAuthenticationFilter.java

package com.example.springdemo.configs;

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.SneakyThrows;
import org.apache.catalina.connector.Request;
import org.springframework.core.annotation.Order;
import org.springframework.http.MediaType;
import org.springframework.security.web.savedrequest.Enumerator;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.lang.reflect.Field;
import java.util.*;
import java.util.stream.Collectors;

@Component
@Order(value = Integer.MIN_VALUE)

public class JsonToUrlEncodedAuthenticationFilter implements Filter {

    private final ObjectMapper mapper;

    public JsonToUrlEncodedAuthenticationFilter(ObjectMapper mapper) {
        this.mapper = mapper;
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    @SneakyThrows
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
        Field f = request.getClass().getDeclaredField("request");
        f.setAccessible(true);
        Request realRequest = (Request) f.get(request);

       //Request content type without spaces (inner spaces matter)
       //trim deletes spaces only at the beginning and at the end of the string
        String contentType = realRequest.getContentType().toLowerCase().chars()
                .mapToObj(c -> String.valueOf((char) c))
                .filter(x->!x.equals(" "))
                .collect(Collectors.joining());

        if ((contentType.equals(MediaType.APPLICATION_JSON_UTF8_VALUE.toLowerCase())||
                contentType.equals(MediaType.APPLICATION_JSON_VALUE.toLowerCase()))
                        && Objects.equals((realRequest).getServletPath(), "/oauth/token")) {

            InputStream is = realRequest.getInputStream();
            try (BufferedReader br = new BufferedReader(new InputStreamReader(is), 16384)) {
                String json = br.lines()
                        .collect(Collectors.joining(System.lineSeparator()));
                HashMap<String, String> result = mapper.readValue(json, HashMap.class);
                HashMap<String, String[]> r = new HashMap<>();

                for (String key : result.keySet()) {
                    String[] val = new String[1];
                    val[0] = result.get(key);
                    r.put(key, val);
                }
                String[] val = new String[1];
                val[0] = (realRequest).getMethod();
                r.put("_method", val);

                HttpServletRequest s = new MyServletRequestWrapper(((HttpServletRequest) request), r);
                chain.doFilter(s, response);
            }

        } else {
            chain.doFilter(request, response);
        }
    }

    @Override
    public void destroy() {
    }

    class MyServletRequestWrapper extends HttpServletRequestWrapper {
        private final HashMap<String, String[]> params;

        MyServletRequestWrapper(HttpServletRequest request, HashMap<String, String[]> params) {
            super(request);
            this.params = params;
        }

        @Override
        public String getParameter(String name) {
            if (this.params.containsKey(name)) {
                return this.params.get(name)[0];
            }
            return "";
        }

        @Override
        public Map<String, String[]> getParameterMap() {
            return this.params;
        }

        @Override
        public Enumeration<String> getParameterNames() {
            return new Enumerator<>(params.keySet());
        }

        @Override
        public String[] getParameterValues(String name) {
            return params.get(name);
        }
    }

这是集成测试的repo

Spring安全性OAuth2接受JSON

问题描述

6 个解决方案

解决方案1
9 已采纳 2016-07-09 17:04:21

解决方案2
2 2016-07-03 08:52:14

解决方案3
0 2017-05-10 11:26:20

解决方案4
0 2018-12-12 00:21:47

解决方案5
0 2019-01-10 13:00:24

解决方案6
0 2019-05-06 20:10:45

Spring安全性OAuth2接受JSON

问题描述

6 个解决方案

解决方案1 9 已采纳 2016-07-09 17:04:21

解决方案2 2 2016-07-03 08:52:14

解决方案3 0 2017-05-10 11:26:20

解决方案4 0 2018-12-12 00:21:47

解决方案5 0 2019-01-10 13:00:24

解决方案6 0 2019-05-06 20:10:45

解决方案1
9 已采纳 2016-07-09 17:04:21

解决方案2
2 2016-07-03 08:52:14

解决方案3
0 2017-05-10 11:26:20

解决方案4
0 2018-12-12 00:21:47

解决方案5
0 2019-01-10 13:00:24

解决方案6
0 2019-05-06 20:10:45