Stocker le jeton du serveur OAuth2 dans un cookie à l'aide de Spring OAuth

Question

Y a-t-il une configuration fournie par Spring OAuth2 qui fait la création d'un cookie avec le jeton opaque ou JWT? La configuration que j'ai trouvée sur Internet jusqu'à présent décrit la création d'un serveur d'autorisation et d'un client pour celui-ci. Dans mon cas, le client est une passerelle avec une application Angular 4 assise au-dessus dans le même déployable. Le frontend envoie des requêtes à la passerelle qui les achemine via Zuul. Configuration du client à l'aide de @EnableOAuth2Sso, un application.yml et un WebSecurityConfigurerAdapter effectue toutes les requêtes et les redirections nécessaires, ajoute les informations au SecurityContext mais stocke les informations dans une session, renvoyant un cookie JSESSIONID à l'interface utilisateur.

Y a-t-il une configuration ou un filtre nécessaire pour créer un cookie avec les informations de jeton, puis utiliser une session sans état que je peux utiliser? Ou dois-je le créer moi-même, puis créer un filtre qui recherche le jeton?

 @SpringBootApplication @EnableOAuth2Sso @RestController public class ClientApplication extends WebSecurityConfigurerAdapter{ @RequestMapping("/user") public String home(Principal user) { return "Hello " + user.getName(); } public static void main(String[] args) { new SpringApplicationBuilder(ClientApplication.class).run(args); } @Override public void configure(HttpSecurity http) throws Exception { http .antMatcher("/**").authorizeRequests() .antMatchers("/", "/login**", "/webjars/**").permitAll() .anyRequest() .authenticated() .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } } server: port: 9999 context-path: /client security: oauth2: client: clientId: acme clientSecret: acmesecret accessTokenUri: http://localhost:9080/uaa/oauth/token userAuthorizationUri: http://localhost:9080/uaa/oauth/authorize tokenName: access_token authenticationScheme: query clientAuthenticationScheme: form resource: userInfoUri: http://localhost:9080/uaa/me

Juan Vega · Accepted Answer

J'ai fini par résoudre le problème en créant un filtre qui crée le cookie avec le jeton et en ajoutant deux configurations pour Spring Security, une pour quand le cookie est dans la demande et une pour quand il ne l'est pas. Je pense en quelque sorte que c'est trop de travail pour quelque chose qui devrait être relativement simple, donc je manque probablement quelque chose dans la façon dont tout est censé fonctionner.

public class TokenCookieCreationFilter extends OncePerRequestFilter { public static final String ACCESS_TOKEN_COOKIE_NAME = "token"; private final UserInfoRestTemplateFactory userInfoRestTemplateFactory; @Override protected void doFilterInternal(final HttpServletRequest request, final HttpServletResponse response, final FilterChain filterChain) throws ServletException, IOException { try { final OAuth2ClientContext oAuth2ClientContext = userInfoRestTemplateFactory.getUserInfoRestTemplate().getOAuth2ClientContext(); final OAuth2AccessToken authentication = oAuth2ClientContext.getAccessToken(); if (authentication != null && authentication.getExpiresIn() > 0) { log.debug("Authentication is not expired: expiresIn={}", authentication.getExpiresIn()); final Cookie cookieToken = createCookie(authentication.getValue(), authentication.getExpiresIn()); response.addCookie(cookieToken); log.debug("Cookied added: name={}", cookieToken.getName()); } } catch (final Exception e) { log.error("Error while extracting token for cookie creation", e); } filterChain.doFilter(request, response); } private Cookie createCookie(final String content, final int expirationTimeSeconds) { final Cookie cookie = new Cookie(ACCESS_TOKEN_COOKIE_NAME, content); cookie.setMaxAge(expirationTimeSeconds); cookie.setHttpOnly(true); cookie.setPath("/"); return cookie; } } /** * Adds the authentication information to the SecurityContext. Needed to allow access to restricted paths after a * successful authentication redirects back to the application. Without it, the filter * {@link org.springframework.security.web.authentication.AnonymousAuthenticationFilter} cannot find a user * and rejects access, redirecting to the login page again. */ public class SecurityContextRestorerFilter extends OncePerRequestFilter { private final UserInfoRestTemplateFactory userInfoRestTemplateFactory; private final ResourceServerTokenServices userInfoTokenServices; @Override public void doFilterInternal(final HttpServletRequest request, final HttpServletResponse response, final FilterChain chain) throws IOException, ServletException { try { final OAuth2AccessToken authentication = userInfoRestTemplateFactory.getUserInfoRestTemplate().getOAuth2ClientContext().getAccessToken(); if (authentication != null && authentication.getExpiresIn() > 0) { OAuth2Authentication oAuth2Authentication = userInfoTokenServices.loadAuthentication(authentication.getValue()); SecurityContextHolder.getContext().setAuthentication(oAuth2Authentication); log.debug("Added token authentication to security context"); } else { log.debug("Authentication not found."); } chain.doFilter(request, response); } finally { SecurityContextHolder.clearContext(); } } }

Il s'agit de la configuration pour quand le cookie est dans la demande.

@RequiredArgsConstructor @EnableOAuth2Sso @Configuration public static class WebSecurityConfig extends WebSecurityConfigurerAdapter { private final UserInfoRestTemplateFactory userInfoRestTemplateFactory; private final ResourceServerTokenServices userInfoTokenServices; /** * Filters are created directly here instead of creating them as Spring beans to avoid them being added as filters * by ResourceServerConfiguration security configuration. This way, they are only executed when the api gateway * behaves as a SSO client. */ @Override protected void configure(final HttpSecurity http) throws Exception { http .requestMatcher(withoutCookieToken()) .authorizeRequests() .antMatchers("/login**", "/oauth/**") .permitAll() .anyRequest() .authenticated() .and() .exceptionHandling().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login")) .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .csrf().requireCsrfProtectionMatcher(csrfRequestMatcher()).csrfTokenRepository(csrfTokenRepository()) .and() .addFilterAfter(new TokenCookieCreationFilter(userInfoRestTemplateFactory), AbstractPreAuthenticatedProcessingFilter.class) .addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class) .addFilterBefore(new SecurityContextRestorerFilter(userInfoRestTemplateFactory, userInfoTokenServices), AnonymousAuthenticationFilter.class); } private RequestMatcher withoutCookieToken() { return request -> request.getCookies() == null || Arrays.stream(request.getCookies()).noneMatch(cookie -> cookie.getName().equals(ACCESS_TOKEN_COOKIE_NAME)); }

Et c'est la configuration quand il y a un cookie avec le token. Il existe un extracteur de cookies qui étend la fonctionnalité BearerTokenExtractor à partir de Spring pour rechercher le jeton dans le cookie et un point d'entrée d'authentification qui expire le cookie lorsque l'authentification échoue.

@EnableResourceServer @Configuration public static class ResourceSecurityServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(final ResourceServerSecurityConfigurer resources) { resources.tokenExtractor(new BearerCookiesTokenExtractor()); resources.authenticationEntryPoint(new InvalidTokenEntryPoint()); } @Override public void configure(final HttpSecurity http) throws Exception { http.requestMatcher(withCookieToken()) .authorizeRequests() .... security config .and() .exceptionHandling().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/")) .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .logout().logoutSuccessUrl("/your-logging-out-endpoint").permitAll(); } private RequestMatcher withCookieToken() { return request -> request.getCookies() != null && Arrays.stream(request.getCookies()).anyMatch(cookie -> cookie.getName().equals(ACCESS_TOKEN_COOKIE_NAME)); } } /** * {@link TokenExtractor} created to check whether there is a token stored in a cookie if there wasn't any in a header * or a parameter. In that case, it returns a {@link PreAuthenticatedAuthenticationToken} containing its value. */ @Slf4j public class BearerCookiesTokenExtractor implements TokenExtractor { private final BearerTokenExtractor tokenExtractor = new BearerTokenExtractor(); @Override public Authentication extract(final HttpServletRequest request) { Authentication authentication = tokenExtractor.extract(request); if (authentication == null) { authentication = Arrays.stream(request.getCookies()) .filter(isValidTokenCookie()) .findFirst() .map(cookie -> new PreAuthenticatedAuthenticationToken(cookie.getValue(), EMPTY)) .orElseGet(null); } return authentication; } private Predicate<Cookie> isValidTokenCookie() { return cookie -> cookie.getName().equals(ACCESS_TOKEN_COOKIE_NAME); } } /** * Custom entry point used by {@link org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter} * to remove the current cookie with the access token, redirect the browser to the home page and invalidate the * OAuth2 session. Related to the session, it is invalidated to destroy the {@link org.springframework.security.oauth2.client.DefaultOAuth2ClientContext} * that keeps the token in session for when the gateway behaves as an OAuth2 client. * For further details, {@link org.springframework.boot.autoconfigure.security.oauth2.client.OAuth2RestOperationsConfiguration.SessionScopedConfiguration.ClientContextConfiguration} */ @Slf4j public class InvalidTokenEntryPoint implements AuthenticationEntryPoint { public static final String CONTEXT_PATH = "/"; @Override public void commence(final HttpServletRequest request, final HttpServletResponse response, final AuthenticationException authException) throws IOException, ServletException { log.info("Invalid token used. Destroying cookie and session and redirecting to home page"); request.getSession().invalidate(); //Destroys the DefaultOAuth2ClientContext that keeps the invalid token response.addCookie(createEmptyCookie()); response.sendRedirect(CONTEXT_PATH); } private Cookie createEmptyCookie() { final Cookie cookie = new Cookie(TokenCookieCreationFilter.ACCESS_TOKEN_COOKIE_NAME, EMPTY); cookie.setMaxAge(0); cookie.setHttpOnly(true); cookie.setPath(CONTEXT_PATH); return cookie; } }

Andy · Answer

Je crois que la position par défaut de Spring à ce sujet est que nous devrions tous utiliser le stockage de session HTTP, en utilisant Redis (ou equiv) pour la réplication si nécessaire. Pour un environnement totalement apatride qui ne volera clairement pas.

Comme vous l'avez constaté, ma solution a été d'ajouter des filtres pré-post pour supprimer et ajouter des cookies si nécessaire. Vous devriez également regarder OAuth2ClientConfiguration .. cela définit le bean à portée de session OAuth2ClientContext. Pour garder les choses simples, j'ai modifié la configuration automatique et j'ai fait cette demande de bean portée. Appelez simplement setAccessToken dans le préfiltre qui supprime le cookie.

Deepak Kumar · Answer

Assurez-vous d'avoir importé ces classes présentes dans javax.servlet:

import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletResponse;

Initialisez le cookie comme ceci:

Cookie cookie = new Cookie(APP_COOKIE_TOKEN,token.getToken()); jwtCookie.setPath("/"); jwtCookie.setMaxAge(20*60); //Cookie cannot be accessed via JavaScript jwtCookie.setHttpOnly(true);

Ajouter un cookie dans HttpServletResponse:

 response.addCookie(jwtCookie);

Si vous utilisez angular 4 et spring security + boot, alors ce dépôt github peut devenir d'une grande aide:

https://github.com/RedFroggy/angular-spring-hmac

Le blog de référence pour ce dépôt est:

https://www.redfroggy.fr/securisez-vos-applications-angular-avec-spring-security-et-hmac/