1

我要做的是登录用户并取回令牌(这部分有效)。然后我想在每次访问 API 路径时验证这个令牌。我显然做错了什么,也许我不完全理解 Spring Security Rest 插件实际上应该做什么,但每当我调用 API 路径并发送令牌时,我得到的只是 Spring Security 登录页面的 html。我正在使用 Boomerang Soap 和 Rest 客户端。这是我要发送的内容。

登录请求(路径:)http://localhost:7070/backend3/api/login

{
    "username": "test@user.com",
    "password": "1234"
}

登录响应:

{
    "username": "test@user.com",
    "roles": [
        "ROLE_USER"
    ],
    "token_type": "Bearer",
    "access_token": "eyJhbGciOiJIU.", // shortened token to conserve space
    "expires_in": 3600,
    "refresh_token": "eyJhbGciOiJIU." // shortened token to conserve space
}

很明显,这部分工作正常。然后我尝试使用从上述响应中收到的令牌来访问我的 API。请记住,在我的 Spring Security 规则下的配置中,我有'/external/**':['ROLE_USER']. 如果我将其更改为['permitAll']然后我可以访问没有问题,但弹簧安全实际上是无用的。

API 请求(路径http://localhost:7070/backend3/external/user/info:)

{
    "access_token": "eyJhbGciOiJIU" // shortened token to conserve space
}

然后返回标准登录页面的 html。我试过发送各种组合的东西,比如access_token, username, token_type, roles. 我什至尝试过不同格式的access_token; "Authorization":"Bearer eyJhbGciOiJIU"我在文档上找到但没有任何效果。

有人可以向我解释如何解决这个问题,因为文档假设了很多我显然没有的先验知识。我将在下面发布我的 Config 和 UrlMappings 文件(的相关部分)以进一步说明。如果我需要提供更多信息,请告诉我,我真的需要让它工作,因为我已经坚持了 2 周。谢谢

配置:

// Added by the Spring Security Core plugin:
grails.plugin.springsecurity.userLookup.userDomainClassName = 'com.crastino.domain.User'
grails.plugin.springsecurity.userLookup.authorityJoinClassName = 'com.crastino.domain.UserRole'
grails.plugin.springsecurity.authority.className = 'com.crastino.domain.Role'
grails.plugin.springsecurity.controllerAnnotations.staticRules = [
    '/':                ['permitAll'],
    '/index':           ['permitAll'],
    '/index.gsp':       ['permitAll'],
    '/assets/**':       ['permitAll'],
    '/**/js/**':        ['permitAll'],
    '/**/css/**':       ['permitAll'],
    '/**/images/**':    ['permitAll'],
    '/**/favicon.ico':  ['permitAll'],
    '/external/**':     ['ROLE_USER']
]
grails.plugin.springsecurity.filterChain.chainMap = [
    '/auth/**': 'JOINED_FILTERS,-exceptionTranslationFilter,-authenticationProcessingFilter,-securityContextPersistenceFilter,-rememberMeAuthenticationFilter', // Stateless chain
    '/api/**': 'JOINED_FILTERS,-exceptionTranslationFilter,-authenticationProcessingFilter,-securityContextPersistenceFilter', // Stateless chain
    '/**': 'JOINED_FILTERS,-restTokenValidationFilter,-restExceptionTranslationFilter'
]

grails.plugin.springsecurity.rest.login.active=true
grails.plugin.springsecurity.rest.login.endpointUrl='/api/login'
grails.plugin.springsecurity.rest.login.failureStatusCode=401
grails.plugin.springsecurity.rest.login.useJsonCredentials=true
grails.plugin.springsecurity.rest.login.usernamePropertyName='username'
grails.plugin.springsecurity.rest.login.passwordPropertyName='password'
grails.plugin.springsecurity.rest.logout.endpointUrl='/auth/logout'
grails.plugin.springsecurity.rest.token.generation.useSecureRandom=true
grails.plugin.springsecurity.rest.token.generation.useUUID=false
grails.plugin.springsecurity.rest.token.validation.active=true
grails.plugin.springsecurity.rest.token.validation.endpointUrl='/auth/validate'

附言。grails.plugin.springsecurity.filterChain.chainMap我还尝试通过添加'/external/**': 'JOINED_FILTERS,-restTokenValidationFilter,-restExceptionTranslationFilter'到数组的末尾来添加我试图访问此部分的路径

网址映射:

group("/external") {
    "/user/info" (controller: 'external', action: 'Service_UserInfo')
}
4

2 回答 2

0

我的老板设法让它为我工作。主要问题似乎是我试图访问的控制器。控制器现在看起来像这样:

// package statement
// import statements
import grails.rest.RestfulController

class UserController extends RestfulController<User> {

    def springSecurityService

    static responseFormats = ['json', 'xml']

    UserController() {
        super(User)
    }

    @Secured(['permitAll'])
    def index() {
        // use this method to test the api without authenticating
        // if you are authenticated though, it'll let you know.
        if(springSecurityService.isLoggedIn()) {
            render(text:[loggedIn:'true'] as JSON)
        } else {
            render(text:[loggedIn:'false'] as JSON)
        }
    }

    @Secured(['ROLE_USER'])
    def listContacts() {
        // needs authentication to access so if you call this method
        // through the api and it returns users you're golden
        def result = User.findAll()
        respond result, [excludes: ['class']]
    }
}

所以关键的区别似乎是导入和扩展 RestfulController、responseFormats 和构造函数。我实际上不知道这意味着什么或它是如何工作的,所以如果有人想在这个答案中编辑解释,请成为我的客人。

我犯的另一个关键错误是在休息电话中。我会使用我的用户名/密码作为 json 参数调用 /api/login,这将返回access_token没有问题。但是,当我想访问例如 /user/listContacts 时,我会将其access_token作为带有 key 的参数access_token发送,而不是作为带有 key 的标头发送X-Auth-Token。这样做似乎是修复的一部分。

我的老板还删除了我的配置文件中的大部分废话(与 Spring Security 和 Rest 相关),所以我也会提供这些更改。请注意,控制器、配置和 API 调用是唯一必要的更改,因此项目中的其他所有内容都可以保持标准(除了在 BuildConfig 中包含插件)。

//Config for Spring Security REST plugin
//login
grails.plugin.springsecurity.rest.login.useJsonCredentials = true
grails.plugin.springsecurity.rest.token.storage.useGorm = true
grails.plugin.springsecurity.rest.token.storage.gorm.tokenDomainClassName = 'com.crastino.domain.AuthenticationToken'

就是这样。此外,这里是一个示例项目的链接,该项目很有帮助。

就是这样。

于 2017-10-13T11:12:00.743 回答
0

似乎问题是:您的网址http://localhost:7070/backend3/external/user/info不在 /api/** 下,因此正在调用常规的 spring 安全过滤器链而不是其余的 api 过滤器链。

尝试

/external/**: 'JOINED_FILTERS,-exceptionTranslationFilter,-authenticationProcessingFilter,-securityContextPersistenceFilter'

同样默认使用不记名令牌。因此,除非您更改了标头名称并禁用了不记名令牌,否则您必须在授权标头中传递不记名令牌。

于 2017-08-04T04:34:21.483 回答