spring-security - OAuth2 - 检索 token 时选项请求的状态 401-6ren

spring-security - OAuth2 - 检索 token 时选项请求的状态 401

转载作者：行者123 更新时间：2023-12-04 07:19:54

26

4

我们的堆栈使用 Backbone 作为我们的客户端应用程序，使用 Spring Boot 作为 RESTful API。

我们正在尝试使用 OAuth2 进行基本身份验证，用户提供用户名和密码。

我们使用 Spring Security 进行身份验证，使用 jQuery $.ajax 方法进行请求。然而，我们在预检 OPTIONS 请求中得到的响应是 401(未授权)状态，然后我们甚至可以使用我们的 secret 来授权 POST header 。然而，我们可以毫无问题地发布或获取任何其他资源。 OPTIONS 请求的服务器响应是 200(ok)，然后是 POST 请求。

那么，为什么来自/oauth/token 的 OPTIONS 请求会以 401 状态响应，即使它不应该响应？它不会让我们授权自己，因为它卡在我们无法添加授权 header 的 OPTIONS 请求中。

这是我们在前端处理请求的方式:

                $.ajax({
                url: "http://localhost:8080/oauth/token",
                type: "POST",
                beforeSend: function(xhr) { 
                    xhr.setRequestHeader("Authorization", "Basic Y2xpZW50YXBwOjEyMzQ1Ng==");
                },
                data: {
                    password: "qwerty",
                    username: "jkowalski",
                    grant_type: "password"
                }
            });

这是我们的 OAuth2 配置:

@Configuration
public class OAuth2ServerConfiguration {

private static final String RESOURCE_ID = "restservice";

@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration extends
        ResourceServerConfigurerAdapter {

    [...]

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();

        http
        .authorizeRequests()
            .anyRequest().permitAll();
    }

}

[...]

@Configuration
@EnableAuthorizationServer
protected static class OAuth2AuthorizationConfig extends
        AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // @formatter:off
        clients
            .inMemory()
                .withClient("clientapp")
                    .authorizedGrantTypes("password", "refresh_token")
                    .authorities("USER","ADMIN")
                    .scopes("read", "write")
                    .resourceIds(RESOURCE_ID)
                    .secret("123456");
        // @formatter:on
    }

[...]
}

最佳答案

我只能从理论上回答你的问题:

So why is that an OPTIONS request from /oauth/token responses with 401 status even when it shouldn't? It won't let us authorize ourselves because it get's stuck at OPTIONS request in which we can't add authorization header.

这是因为 default configuration of the AuthServer是只允许在 token 端点进行完全身份验证的请求。

在您的资源服务器中，您允许所有请求在没有身份验证的情况下发生:http.authorizeRequests().anyRequest().permitAll();

我试图像提到的那样解决这种情况 here ，但我无法让它为我工作。

为了完整起见，我还在这里提到，你必须添加一个 CorsFilter将正确的 header 添加到 OPTIONS 预检请求中。

I also asked a very similar question ，所以也许如果我的答案得到解答，您也可以使用这些信息解决您的问题。

关于spring-security - OAuth2 - 检索 token 时选项请求的状态 401，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30622624/

26

4

0

文章推荐： data-structures - 空的二叉搜索树有效吗？

文章推荐： .net - 是将MEF还是MEF2烘焙到.NET Framework中？

文章推荐： sql-server-2008 - 如何在 SQL Server 中验证触发器

文章推荐： matplotlib - 控制seaborn中的网格线间距

scala - 选项[ future [选项[Int]]] => future [选项[Int]]
给定一个 Option[Future[Option[Int]]] : scala> val x: Option[Future[Option[Int]]] = Some ( Future ( Some
scala - EitherT[选项，A，B] ===选项[Either[A，B]]
如果我理解正确，EitherT[Option,A,B] 应该与 Option[Either[A,B]] 相同，但编译器不同意.以下代码编译失败: def f[A,B] = implicitly[Eit
npm - 这个错误是什么意思？有 `useBuiltIns` 选项，需要直接设置 `corejs` 选项
我刚开始在使用 parcel.js 构建静态 Assets 时遇到此错误。它在本地工作，但我在 Heroku 上的构建出错，我不确定它是否相关。最佳答案得到同样的问题。通过将 core-js 安装
c# - Telerik 报告只有 PDF 选项，没有 Excel 和 Word 选项
当我生成 Telerik Report 时，只有 Export PDF 可用。即使我将 docx 和 xlsx 的配置设置为 true。这是我在网络配置中的配置。
ios - 在 itunesConnect 中，我的应用程序显示 Apple Pay 选项，我正在使用 Braintree。如何摆脱在我的 itunesConnect 中显示 Apple Pay 选项？
我的 iTunesConnect 应用程序显示 Apple Pay 选项。我正在使用布伦特里。即使我们没有在应用程序中使用 Apple Pay 功能。有人可以帮我解决如何在我的 itunesCon
从命令行执行时MySQL输出帮助/选项
我正在 Raspbian 中从命令行运行以下查询: mysql -u $NAME -p $PASS Tweets -e "SELECT count(*) FROM raw_tweets;" 它输出以下
ffmpeg -r 选项
我正在尝试使用 ffmpeg(在 linux 下)为视频添加一个小标题。所以，我使用: ffmpeg -i hk.avi -r 30000/1001 -metadata title="SOF" hk_
用于视频流的 FFMPEG 选项
我正在尝试使用 ffmpeg 使用 ffserver 流式传输视频。您将在 ffserver1.conf 文件下方找到 ffmpeg 命令的日志输出。其中一个错误引用了预设，每次我尝试使用预设时，我
具有折叠操作的 Scala 选项
我正在尝试对 Option 使用 fold 或 map 操作而不是 match。我有一个选项 val ao: Option[String] = xxxx 和一个函数 f: (String => Fu
Dockerfile FROM --platform 选项
Dockerfile documentation表示有可能通过 --platform FROM 中的选项像这样的指令: FROM [--platform=] [AS ] 在我的 dockerfile
jquery - 将数据动态添加到属性/选项
我不确定“属性(property)”或“选项”是否是正确的术语，但这是我需要弄清楚的。鉴于以下情况: ' $.fileup({ url: '/file/upload',
选择 jQuery IF 选项
我正在尝试使用 jQuery 检查是否选择了值 = 1 的选择选项，然后将类添加到某些元素。但有些东西不起作用。可以请人看一下代码吗？我的代码: Reservation
VIM:选项、变量和两者之间的转换
我对 VIM 中的这些感到困惑。有些事情需要设置，而另一些则让。而且，我如何检查某个选项。我知道这是一个选项，因为我使用 set 来更改它。例如，如何检查当前文件类型选项是否为 java？最佳答
javascript - 当用户将鼠标悬停在链接上时想要显示图标/选项
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
F# 选项...它们真的能防止空引用异常吗
我在看《Professional F# 2.0》一书作者展示如下代码 let a string : option = None if a.IsNone then System.Console.
用于检查输入参数的 Java 选项
我习惯使用方法顶部的 java 样板检查输入参数: public static Boolean filesExist(String file1, String file2, String file3
PHP 正则表达式将字符串解释为命令行属性/选项
假设我有一串 "Insert Post -title Some PostTitle -category 2 -date-posted 2013-02:02 10:10:10" 我一直在尝试做的是将这个
KotlinJvmOptions useIR 选项
从 1.3.70 EAP 开始，在 org.jetbrains.kotlin.gradle.dsl.KotlinJvmOptions 这是 var useIR: kotlin.Boolean 哪个激活
Magento - 获取已订购捆绑项目的子项/选项
我无法获取订购捆绑商品的所有子产品及其选项。这可能吗？最佳答案以下是您如何找出哪些产品应与所有其他项目一起附加到列表中的捆绑产品中的方法: foreach ($order->getAllItems
java - 找到类型转换的流程/选项
这个问题不太可能对任何 future 的访客有帮助；它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关，通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用，visit the

首页

博学

6Ren·AI

商城

spring-security - OAuth2 - 检索 token 时选项请求的状态 401