spring - 替换 AuthorizationRequest 后 HttpSession 为空

Question

Complete code下面给出了快速重现问题的说明。
问题:
HttpSession变成 null在 DefaultOAuth2RequestFactory 的自定义实现之后替换当前 AuthorizationRequest 与保存 AuthorizationRequest . 这会导致 后续请求失败 至 /oauth/token因为CsrfFilter在 /oauth/token 之前的 Spring Security 过滤器链中端点无法找到 session Csrf token在 null session与request比较的 Csrf token .

错误期间的控制流程:

以下流程图说明了 步骤 14 和 步骤 15 不知何故null -ify HttpSession . (或者可能与 JSESSIONID 不匹配。)A SYSO开头CustomOAuth2RequestFactory.java在 步骤 14 显示确实存在 HttpSession实际上包含正确的 CsrfToken .然而，不知何故，HttpSession已成为null到时候步骤 15 在 localhost:8080/login 处触发来自客户端的调用url 回到 localhost:9999/oauth/token端点。

HttpSessionSecurityContextRepository 的每一行都添加了断点在下面的调试日志中提到。 (它位于 Maven Dependencies eclipse 项目的 authserver 文件夹中。)这些断点确认了 HttpSession是 null当最终请求到/oauth/token在下面的流程图中进行。 (流程图的左下角。) null HttpSession可能是由于 JSESSIONID在自定义 DefaultOAuth2RequestFactory 后仍保留在浏览器中变得过时代码运行。

这个问题怎么解决，让同样的HttpSession在对 /oauth/token 的最后一次通话中仍然存在端点，在流程图中的步骤 15 结束之后？



相关代码和日志:
CustomOAuth2RequestFactory.java的完整代码can be viewed at a file sharing site by clicking on this link. 我们可以猜到 null session是由于 1.) JSESSIONID CustomOAuth2RequestFactory 中的代码未在浏览器中更新, 或 2.) HttpSession实际上是 null -化。

调用 /oauth/token 的 Spring Boot 调试日志后 步骤 15 明确声明没有 HttpSession到那时，可以阅读如下:

2016-05-30 15:33:42.630 DEBUG 13897 --- [io-9999-exec-10] o.s.security.web.FilterChainProxy        : /oauth/token at position 1 of 12 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter'
2016-05-30 15:33:42.631 DEBUG 13897 --- [io-9999-exec-10] o.s.security.web.FilterChainProxy        : /oauth/token at position 2 of 12 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter'
2016-05-30 15:33:42.631 DEBUG 13897 --- [io-9999-exec-10] w.c.HttpSessionSecurityContextRepository : No HttpSession currently exists
2016-05-30 15:33:42.631 DEBUG 13897 --- [io-9999-exec-10] w.c.HttpSessionSecurityContextRepository : No SecurityContext was available from the HttpSession: null. A new one will be created.
2016-05-30 15:33:42.631 DEBUG 13897 --- [io-9999-exec-10] o.s.security.web.FilterChainProxy        : /oauth/token at position 3 of 12 in additional filter chain; firing Filter: 'HeaderWriterFilter'
2016-05-30 15:33:42.631 DEBUG 13897 --- [io-9999-exec-10] o.s.s.w.header.writers.HstsHeaderWriter  : Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@2fe29f4b
2016-05-30 15:33:42.631 DEBUG 13897 --- [io-9999-exec-10] o.s.security.web.FilterChainProxy        : /oauth/token at position 4 of 12 in additional filter chain; firing Filter: 'CsrfFilter'
2016-05-30 15:33:42.644 DEBUG 13897 --- [io-9999-exec-10] o.s.security.web.csrf.CsrfFilter         : Invalid CSRF token found for http://localhost:9999/uaa/oauth/token
2016-05-30 15:33:42.644 DEBUG 13897 --- [io-9999-exec-10] w.c.HttpSessionSecurityContextRepository : SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession.
2016-05-30 15:33:42.644 DEBUG 13897 --- [io-9999-exec-10] s.s.w.c.SecurityContextPersistenceFilter : SecurityContextHolder now cleared, as request processing completed

在您的计算机上重新创建问题:

按照以下简单步骤，只需几分钟，您就可以在任何计算机上重现该问题:

1.) 下载 zipped version of the app from a file sharing site by clicking on this link .

2.) 输入以下内容解压缩应用程序: tar -zxvf oauth2.tar(4).gz
3.) 启动 authserver导航至 oauth2/authserver然后输入 mvn spring-boot:run .

4.) 启动 resource导航至 oauth2/resource然后输入 mvn spring-boot:run
5.) 启动 ui导航至 oauth2/ui然后输入 mvn spring-boot:run
6.) 打开网络浏览器并导航至 http : // localhost : 8080
7.) 点击 Login然后输入 Frodo作为用户和 MyRing作为密码，点击提交。

8.) 输入 5309如 Pin Code然后点击提交。 这将触发上面显示的错误。

Spring Boot 调试日志将显示很多 SYSO ，它给出了变量的值，例如 XSRF-TOKEN和 HttpSession在流程图中显示的每个步骤 . SYSO有助于对调试日志进行分段，使其更易于解释。以及所有 SYSO由其他类调用的一个类完成，因此您可以操作 SYSO - 生成类以更改控制流中各处的报告。 SYSO的名称-生成类是 TestHTTP ，其源代码可以在同一个 demo中找到包裹。

使用调试器:

1.) 选择运行 authserver 的终端窗口应用程序和类型 Ctrl-C停止 authserver应用程序。

2.) 将三个应用程序( authserver 、 resource 和 ui )作为 导入 Eclipse现有 Maven 项目 .

3.) 在 authserver app的eclipse Project Explorer，点击展开 Maven Dependencies文件夹 ，然后在其中向下滚动以单击以展开 Spring-Security-web... jar 如下图橙色圆圈所示。然后滚动以找到并展开 org.springframework.security.web.context包裹。然后双击打开 HttpSessionSecurityContextRepository在下面的屏幕截图中以蓝色突出显示的类。为此类中的每一行添加断点。您可能想对 SecurityContextPersistenceFilter 做同样的事情。同一个包中的类。 这些断点将使您能够看到 HttpSession 的值 ，现在变成 null在控制流结束之前，但需要有一个可以映射到 XSRF-TOKEN 的有效值为了解决这个 OP。



4.) 在应用程序的 demo 中包，在 CustomOAuth2RequestFactory.java 内添加断点.然后 Debug As... Spring Boot App启动调试器。

5.) 然后重复上面的步骤 6 到 8。您可能希望在每次新尝试之前清除浏览器的缓存。您可能希望打开浏览器开发人员工具的网络选项卡。

Answer 1

你的问题解决了吗？我一直在四处寻找完整的 2FA 样本和 spring-security-oauth2。很高兴您发布了完整的概念和完整的来源。

我试过你的包，你的问题可以简单地通过改变你的 AuthserverApplication.java 中的 1 行代码来解决

@Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
            .formLogin().loginPage("/login").permitAll()
        .and()
                .requestMatchers().antMatchers("/login", "/oauth/authorize", "/secure/two_factor_authentication", "/pincode")
        .and()
                .authorizeRequests().anyRequest().authenticated();
        // @formatter:on
    }

您的原始配置通过了 spring security 的身份验证链，它返回了一个空的身份验证对象。

我还建议您将 CustomOAuth2RequestFactory 的 Bean 创建更改为以下内容，以覆盖链中的所有 OAuth2RequestFactory

@Bean
    public OAuth2RequestFactory customOAuth2RequestFactory(){
        return new CustomOAuth2RequestFactory(clientDetailsService);
    }

对于您添加的用于处理 CSRF 的代码，您可以简单地删除它们，例如。 2FA Controller :

@Controller
@RequestMapping(TwoFactorAuthenticationController.PATH)
public class TwoFactorAuthenticationController {
    private static final Logger LOG = LoggerFactory.getLogger(TwoFactorAuthenticationController.class);
    public static final String PATH = "/secure/two_factor_authentication";
    public static final String AUTHORIZE_PATH = "/oauth/authorize";
    public static final String ROLE_TWO_FACTOR_AUTHENTICATED = "ROLE_TWO_FACTOR_AUTHENTICATED";

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @RequestMapping(method = RequestMethod.GET)
    public String auth(HttpServletRequest request, HttpSession session, HttpServletResponse resp/*, ....*/) {
        System.out.println("-------- inside GET /secure/two_factor_authentication --------------");
        if (AuthenticationUtil.isAuthenticatedWithAuthority(ROLE_TWO_FACTOR_AUTHENTICATED)) {
            LOG.info("User {} already has {} authority - no need to enter code again", ROLE_TWO_FACTOR_AUTHENTICATED);
//            throw ....;
        }
        else if (session.getAttribute(CustomOAuth2RequestFactory.SAVED_AUTHORIZATION_REQUEST_SESSION_ATTRIBUTE_NAME) == null) {
//            LOG.warn("Error while entering 2FA code - attribute {} not found in session.", CustomOAuth2RequestFactory.SAVED_AUTHORIZATION_REQUEST_SESSION_ATTRIBUTE_NAME);
//          throw ....;
        }
        return "pinCode";
    }

    @RequestMapping(method = RequestMethod.POST)
    public String auth(FormData formData, HttpServletRequest req, HttpServletResponse resp,
                                            SessionStatus sessionStatus, Principal principal, Model model)
        throws IOException{

        if (formData.getPinVal()!=null) {
            if(formData.getPinVal().equals("5309")){
                AuthenticationUtil.addAuthority(ROLE_TWO_FACTOR_AUTHENTICATED);
                return "redirect:"+AUTHORIZE_PATH;
            };
        };

        return "pinCode";
    }
}

如果您在清理后想要完整的源代码，请告诉我。