訪問不安全資源oauth2時的訪問令牌無效

Question

我已經通過大量的努力在應用程序中實現了spring-security-oauth2。 而且一切正常。 僅使用授權令牌訪問資源。 但是，當我嘗試使用Authorization Header訪問不安全的資源時，它將驗證訪問令牌。

如果訪問令牌有效，那么它的工作權限正確，但是如果訪問令牌無效，則會顯示錯誤Invalid access_token錯誤。

Answer 1

除非用戶明確指定允許UR1訪問，否則Spring安全性將攔截每個請求並檢查access_token的有效性。 就像如果您不想截取網址格式並檢查身份驗證，那么代碼就像

<http ...>
    <intercept-url pattern="/app/**" access="IS_AUTHENTICATED_FULLY" />
   <intercept-url pattern="/oauth2/resource/**" access="ROLE_USER" />
</http>

但是，如果您想在沒有任何安全性的情況下訪問資源，則可以執行以下操作：

<http pattern="/resources/**" security="none"/>

希望這能解決您的問題

Answer 2

您必須在OAuth配置文件中配置HTTP模式。 檢查是否用“ *”配置URL

<http pattern="/detail/**" create-session="never"
        entry-point-ref="oauthAuthenticationEntryPoint"
        xmlns="http://www.springframework.org/schema/security">
        <anonymous enabled="false" />
        <!-- intercept-url pattern -->
        <intercept-url pattern="/detail/**" access="IS_AUTHENTICATED_FULLY" />
        <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
        <access-denied-handler ref="oauthAccessDeniedHandler" />
    </http>

例如，在上面的配置中，我已使所有以“詳細信息”開頭的API安全。 您可能在不知不覺中/無意中使API安全。 確保您沒有！