Spring security - oauth2 资源服务器测试
[英]Spring security - oauth2 resource server tests
问题描述
使用@WebMvcTest 和 POST HTTP 方法测试 oauth2 资源服务器时,我遇到了一些问题。
当我不发送 csrf 令牌时,我总是收到 403 状态代码,即使在我使用不记名令牌时不需要该令牌。
这是我要测试的 POST 方法。
@PostMapping("/message")
public String createMessage(@RequestBody String message) {
return String.format("Message was created. Content: %s", message);
}
这是我的安全配置:
http.authorizeRequests(authorizeRequests -> authorizeRequests
.antMatchers("/message/**")
.hasAuthority("SCOPE_message:read")
.anyRequest().authenticated()
).oauth2ResourceServer(oauth2ResourceServer ->
oauth2ResourceServer
.jwt(withDefaults())
);
我正在按照spring-security的样本中提供的测试进行操作。
以下测试本应通过,但由于未在请求中发送 csrf 令牌而失败。
mockMvc.perform(post("/message").content("Hello message")
.with(jwt(jwt -> jwt.claim("scope", "message:read")))
.andExpect(status().isOk())
.andExpect(content().string(is("Message was created. Content: Hello message")));
当我将 csrf 令牌添加到请求时,测试通过:
mockMvc.perform(post("/message").content("Hello message")
.with(jwt(jwt -> jwt.claim("scope", "message:read")))
.with(csrf()))
.andExpect(status().isOk())
.andExpect(content().string(is("Message was created. Content: Hello message")));
当我运行应用程序时,不需要在 POST 请求中发送 csrf 令牌。
我已经分叉了 Spring Security GitHub 存储库,这个测试失败的项目可以在这个链接上找到。
有没有办法让我配置我的测试,这样我就不需要在 POST 请求中发送 csrf 令牌?
2 个解决方案
解决方案1
2 已采纳 2019-07-19 16:48:56
为了让CSRF筛选器检测到您正在使用JWT令牌,您将需要在请求中包含JWT令牌作为Authorization标头或请求参数。
您提到的测试具有模拟JwtDecoder ,这意味着您可以将任何字符串用作令牌并模拟解码后的值。
您的测试将变为:
Jwt jwt = Jwt.withTokenValue("token")
.header("alg", "none")
.claim("scope", "message:read")
.build();
when(jwtDecoder.decode(anyString())).thenReturn(jwt);
mockMvc.perform(post("/message")
.content("Hello message")
.header("Authorization", "Bearer " + jwt.getTokenValue()))
.andExpect(status().isOk())
.andExpect(content().string(is("Message was created. Content: Hello message")));
如果您不JwtDecoder则需要检索有效的承载令牌并将其传递到Authorization标头中。
解决方案2
0 2023-01-31 17:27:05
首先使用 Bearer 访问令牌,您可以禁用会话(STATELESS 会话管理),并因此禁用 CSRF 保护(CSRF 攻击向量是会话)。
其次是.csrf() MockMvc 请求后处理器,如果你想保持让步(和 CSRF 保护),它会模拟 CSRF 令牌。
最后, jwt()请求后处理器所做的是使用JwtAuthenticationToken实例直接配置安全上下文,而不是创建有效的 JWT 令牌集作为 Bearer 访问令牌。 使用 MockMvc,授权 header 不会被解码或转换为身份验证实例。 => 在 MockMvc 请求执行之前您应该设置的是权限,而不是 scope 声明:
.with(jwt(jwt -> jwt.authorities(List.of(new SimpleGrantedAuthority("SCOPE_message:read")))))
请注意,您也可以简单地用以下内容装饰您的测试 function:
@WithMockJwtAuth("SCOPE_message:read")
从这个库我维护
Spring Boot Oauth2-授权与资源服务器之间的安全性不兼容
[英]Spring boot Oauth2 - Security incompatibility between Authorization and Resource server
在Spring Security Oauth2中使用RemoteTokenServices配置资源服务器
[英]Configuring resource server with RemoteTokenServices in Spring Security Oauth2
Spring Security OAuth2使用主机和端口将资源服务器连接到授权服务器URL
[英]Spring Security OAuth2 connect resource server to authorization server url with host and port
如何在Java中使用Spring Security OAuth2在资源服务器中动态配置Httpsecurity?
[英]How to dynamically configure Httpsecurity in the Resource server using Spring security OAuth2 in Java?
对同一资源使用 Oauth2 或 Http-Basic 身份验证的 Spring Security
[英]Spring security with Oauth2 or Http-Basic authentication for the same resource
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Spring Security OAuth2纯资源服务器
Spring Boot Oauth2-授权与资源服务器之间的安全性不兼容
我是否需要具有Spring Security OAuth2的资源服务器?
Oauth2资源服务器与Spring Security配置重叠
在Spring Security Oauth2中使用RemoteTokenServices配置资源服务器
设置基于Spring安全性的OAuth2服务器
Spring Security OAuth2使用主机和端口将资源服务器连接到授权服务器URL
Spring OAuth2资源服务器的Java配置
如何在Java中使用Spring Security OAuth2在资源服务器中动态配置Httpsecurity?
对同一资源使用 Oauth2 或 Http-Basic 身份验证的 Spring Security
相关标签