0

我将 Spring Security OAuth 2.0 与 Google 作为身份提供者一起使用。我在正确处理会话超时和重新身份验证方面遇到问题。

设想:

  • 会话超时后对 REST API 的一些请求。
  • 前端处理 HTTP 403 并显示带有 Spring Security 登录端点链接的屏幕。
  • 用户点击此链接。Spring 问题使用必要的参数(代码、状态等)重定向到 Google 登录页面。用户成功重新验证。

当前行为:

  • 登录后,Google 会重定向到之前请求的 REST API URL。结果,用户在浏览器中看到了一些 JSON。我根本不明白应用程序的哪一部分可以保存它。我禁用了一切。(请参阅配置类下面的注释。)

期望的行为:

  • 登录后谷歌重定向到一些启动 UI 屏幕。

我的配置类:

import org.springframework.beans.factory.annotation.Value
import org.springframework.context.annotation.Configuration
import org.springframework.security.config.annotation.web.builders.HttpSecurity
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter
import org.springframework.security.web.authentication.Http403ForbiddenEntryPoint
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler

@Configuration
@EnableWebSecurity
class WebSecurityConfiguration: WebSecurityConfigurerAdapter() {

    @Value("\${app.security.oauth2.defaultSuccessUrl}")
    lateinit var defaultSuccessUrl: String

    @Throws(Exception::class)
    override fun configure(httpSecurity: HttpSecurity) {
        val successHandler = SimpleUrlAuthenticationSuccessHandler()
        successHandler.setUseReferer(false)
        httpSecurity
            .antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/", "/login**", "/js/**", "/error**").permitAll()
            .anyRequest().authenticated()
            .and().oauth2Login()
            .successHandler(successHandler)
            .defaultSuccessUrl(defaultSuccessUrl)
            .and().logout().logoutSuccessUrl("/login").deleteCookies("JSESSIONID").permitAll()
            .and()
            .csrf().disable()
            .exceptionHandling()
            .authenticationEntryPoint(Http403ForbiddenEntryPoint())
    }

}
  • defaultSuccessUrl设置为所需的 UI 屏幕。
  • 我已经将成功处理程序更改为,SimpleUrlAuthenticationSuccessHandler而不是SavedRequestAwareAuthenticationSuccessHandler关闭 Spring 保存请求的 URL。
  • successHandler.setUseReferer(false)Referer在 HTTP 级别禁用标头。
  • Http403ForbiddenEntryPoint()过去只是在会话超时时发出 HTTP 403。前端处理这个并显示带有 Spring Security 登录 URL 链接的登录屏幕。

我做错了什么?

提前致谢。

UPD:根据Steve Riesenberg的回答更新了代码:

import org.springframework.beans.factory.annotation.Value
import org.springframework.context.annotation.Configuration
import org.springframework.security.config.annotation.web.builders.HttpSecurity
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter
import org.springframework.security.web.authentication.Http403ForbiddenEntryPoint
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler

@Configuration
@EnableWebSecurity
class WebSecurityConfiguration: WebSecurityConfigurerAdapter() {

    @Value("\${app.security.oauth2.defaultSuccessUrl}")
    lateinit var defaultSuccessUrl: String

    @Throws(Exception::class)
    override fun configure(httpSecurity: HttpSecurity) {
        val successHandler = SimpleUrlAuthenticationSuccessHandler(defaultSuccessUrl)
        successHandler.setUseReferer(false)
        httpSecurity
            .antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/", "/login**", "/js/**", "/error**").permitAll()
            .anyRequest().authenticated()
            .and().oauth2Login()
            .successHandler(successHandler)
            .and().logout().logoutSuccessUrl("/login").deleteCookies("JSESSIONID").permitAll()
            .and()
            .csrf().disable()
            .exceptionHandling()
            .authenticationEntryPoint(Http403ForbiddenEntryPoint())
    }

}
4

1 回答 1

1

设置defaultSuccessUrl将覆盖您的successHandler(),因为设置 URL 实际上会添加SavedRequestAwareAuthenticationSuccessHandler您想要替换的内容。successHandler顺序很重要,因为配置器中只有一个oauth2Login

相反,您需要将 传递defaultSuccessUrl给 的构造函数SimpleUrlAuthenticationSuccessHandler,并且只设置successHandler(successHandler).

于 2021-10-12T16:25:42.870 回答