Spring Boot中OAuth2与Basic Auth共存配置指南

在spring boot应用中同时启用oauth2资源服务器和http basic认证时，spring security的自动配置可能会导致basic认证失效。本文将深入探讨此问题根源，即oauth2相关bean的存在会阻止`userdetailsservice`的自动创建，并提供通过手动定义`inmemoryuserdetailsmanager` bean来解决此问题的详细教程，确保两种认证机制能协同工作。

Spring Boot中OAuth2与Basic Auth共存的挑战

在Spring Boot项目中，当您尝试同时保护部分资源使用OAuth2/OIDC，而另一部分资源使用HTTP Basic认证时，可能会遇到Basic认证失效的问题，即使在application.yaml中配置了spring.security.user属性。具体表现为，Basic认证保护的端点总是返回HTTP 401 Unauthorized错误。

这个问题通常发生在Spring Security的自动配置机制中。Spring Boot提供了便利的自动配置，例如当检测到spring.security.user配置时，会自动创建一个InMemoryUserDetailsManager Bean来处理内存中的用户认证。然而，当项目中存在OAuth2相关的Bean（例如JwtDecoder、OpaqueTokenIntrospector或ClientRegistrationRepository）时，Spring Boot的UserDetailsServiceAutoConfiguration会因为@ConditionalOnMissingBean注解的条件不满足而“退避”，即停止自动创建UserDetailsService Bean。这意味着，即使您在application.yaml中配置了用户，这些配置也不会被Spring Security识别和使用，从而导致Basic认证无法正常工作。

解决方案：手动配置UserDetailsService

解决此问题的核心是手动定义一个UserDetailsService Bean，以确保Spring Security能够找到并使用它来处理Basic认证的用户。对于简单的内存用户，我们可以使用InMemoryUserDetailsManager。

1. 定义InMemoryUserDetailsService Bean

在您的Spring配置类中（例如DemoSecurityConfiguration或一个新的配置类），添加一个@Bean方法来创建并返回UserDetailsService实例。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.core.userdetails.User;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.provisioning.InMemoryUserDetailsManager;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.crypto.factory.PasswordEncoderFactories; // 推荐使用@Configurationpublic class SecurityUserConfiguration {    @Bean    public UserDetailsService inMemoryUserDetailsService(PasswordEncoder passwordEncoder) {        // 定义一个名为"demo"，密码为"demo"，角色为"demo"的用户        UserDetails demoUser = User.withUsername("demo")                                   .password(passwordEncoder.encode("demo")) // 密码需要编码                                   .roles("demo")                                   .build();        return new InMemoryUserDetailsManager(demoUser);    }    // 推荐显式定义PasswordEncoder，Spring Security 5.0+ 要求    @Bean    public PasswordEncoder passwordEncoder() {        // 使用DelegatingPasswordEncoder，它支持多种编码格式，并自动选择        return PasswordEncoderFactories.createDelegatingPasswordEncoder();    }}

重要提示：密码编码

从Spring Security 5.0开始，要求所有密码都必须经过编码。如果您提供的密码是明文，Spring Security会抛出IllegalArgumentException: There is no PasswordEncoder mapped for the id “null”。

开发/演示环境： 为了方便，可以使用{noop}前缀告诉PasswordEncoder该密码无需编码。例如：.password(“{noop}demo”)。但这仅适用于非生产环境。生产环境： 强烈建议使用安全的密码编码器，如BCryptPasswordEncoder。PasswordEncoderFactories.createDelegatingPasswordEncoder()是Spring Security推荐的方式，它会根据密码前缀自动选择合适的编码器（例如{bcrypt}password）。

在上述示例中，我们显式定义了PasswordEncoder Bean并将其注入到inMemoryUserDetailsService方法中，确保密码被正确编码。

2. 调整Security配置类

确保您的WebSecurityConfigurerAdapter配置类正确地分层和匹配路径。在提供的示例中，使用了@Order注解来定义安全配置的优先级，这是处理多个安全配置链的推荐方式。

存了个图

视频图片解析/字幕/剪辑，视频高清保存/图片源图提取

17 查看详情

import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Configuration;import org.springframework.core.annotation.Order;import org.springframework.core.env.Environment;import org.springframework.security.authentication.DefaultOAuth2AuthenticatedPrincipal;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.oauth2.server.resource.introspection.NimbusOpaqueTokenIntrospector;import org.springframework.security.oauth2.server.resource.introspection.OAuth2AuthenticatedPrincipal;import org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector;import java.util.Collection;import java.util.Collections;public class DemoSecurityConfiguration {    @Configuration    @Order(10) // 较低的优先级，先匹配更具体的路径    @EnableWebSecurity    public static class HelloWorldBasicSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {        @Override        protected void configure(HttpSecurity http) throws Exception {            http.antMatcher("/helloworld")                .authorizeRequests().anyRequest().authenticated() // 任何请求都需要认证                .and()                .httpBasic(); // 启用HTTP Basic认证        }    }    @Configuration    @Order(0) // 较高的优先级，后匹配通用或OAuth2路径    @EnableWebSecurity    public static class ResourceSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {        @Autowired        private Environment environment;        @Override        protected void configure(HttpSecurity http) throws Exception {            http.antMatcher("/resource")                .oauth2ResourceServer(oauth2 -> oauth2.opaqueToken(                        opaqueToken -> opaqueToken.introspector(new DemoAuthoritiesOpaqueTokenIntrospector())))                .authorizeRequests().anyRequest().authenticated(); // 任何请求都需要认证        }        private class DemoAuthoritiesOpaqueTokenIntrospector implements OpaqueTokenIntrospector {            private final OpaqueTokenIntrospector delegate;            private final String demoClientId;            public DemoAuthoritiesOpaqueTokenIntrospector() {                String introSpectionUri = environment                        .getProperty("spring.security.oauth2.resourceserver.opaque-token.introspection-uri");                String clientId = environment                        .getProperty("spring.security.oauth2.resourceserver.opaque-token.client-id");                String clientSecret = environment                        .getProperty("spring.security.oauth2.resourceserver.opaque-token.client-secret");                demoClientId = environment.getProperty("demo.security.oauth2.credentials-grant.client-id");                delegate = new NimbusOpaqueTokenIntrospector(introSpectionUri, clientId, clientSecret);            }            @Override            public OAuth2AuthenticatedPrincipal introspect(String token) {                OAuth2AuthenticatedPrincipal principal = this.delegate.introspect(token);                return new DefaultOAuth2AuthenticatedPrincipal(principal.getName(), principal.getAttributes(),                        extractAuthorities(principal));            }            private Collection extractAuthorities(OAuth2AuthenticatedPrincipal principal) {                String userId = principal.getAttribute("client_id");                if (demoClientId.equals(userId)) {                    return Collections.singleton(new SimpleGrantedAuthority("ROLE_oauth2"));                }                return Collections.emptySet();            }        }    }}

配置说明：

@Order注解： 具有较低@Order值的配置类（如@Order(0)）会优先被Spring Security处理。这意味着它会先尝试匹配其antMatcher。对于更具体的路径（如/helloworld），通常会赋予更高的@Order值，让它在其他更通用的配置之后被处理。在本例中，/resource的OAuth2配置优先级更高（@Order(0)），/helloworld的Basic Auth配置优先级较低（@Order(10)），这确保了/helloworld能够被Basic Auth配置捕获。antMatcher()： 精确匹配请求路径，确保不同的安全配置链只作用于其负责的路径。.authorizeRequests().anyRequest().authenticated()： 确保匹配到此配置链的任何请求都需要认证。

3. application.yaml配置

application.yaml中的OAuth2相关配置保持不变。关于Basic认证的用户配置，由于我们已经手动定义了UserDetailsService Bean，spring.security.user下的配置将不再起作用，可以移除或忽略。

spring:  security:    oauth2:      resourceserver:        opaque-token:          introspection-uri: "https://...oauth2" # 替换为您的OAuth2内省端点          client-id: "abba"          client-secret: "secret"demo:  security:    oauth2:      credentials-grant:        client-id: "rundmc"

验证与测试

完成上述配置后，您可以启动Spring Boot应用程序并进行测试：

测试Basic Auth端点 (/helloworld)：使用curl或其他HTTP客户端，发送带有Basic认证头的请求：

curl -v -u demo:demo http://localhost:8080/helloworld

预期结果：HTTP 200 OK，并返回 “Hello World!”。

测试OAuth2端点 (/resource)：首先，从您的OAuth2服务器获取一个有效的Bearer Token。然后发送带有Bearer Token的请求：

curl -v -H "Authorization: Bearer YOUR_VALID_OAUTH2_TOKEN" http://localhost:8080/resource

预期结果：HTTP 200 OK，并返回 “Protected resource”。

注意事项与最佳实践

生产环境密码编码： 永远不要在生产环境中使用{noop}密码编码器。请使用BCryptPasswordEncoder或其他强密码哈希算法。角色管理： 确保@PreAuthorize注解中的角色（例如hasRole(‘demo’)和hasRole(‘oauth2’)）与您的认证逻辑中分配的角色一致。在OAuth2的例子中，DemoAuthoritiesOpaqueTokenIntrospector负责将client_id映射到ROLE_oauth2。安全配置顺序： 当有多个WebSecurityConfigurerAdapter时，@Order注解至关重要。通常，更具体的路径匹配器应该有更高的@Order值（即数字更大，优先级更低），以确保它们在更通用的匹配器之前被评估。然而，Spring Security的过滤器链处理顺序是按照@Order值从小到大排列的，这意味着@Order(0)的配置会先执行。因此，需要仔细设计匹配规则和顺序，以避免冲突。在上述示例中，/resource的OAuth2配置优先级更高（@Order(0)），它会首先尝试匹配。如果请求不是/resource，则会交给下一个配置链（@Order(10)）处理/helloworld。自定义UserDetailsService： 对于更复杂的认证需求，例如从数据库加载用户信息，您需要实现自己的UserDetailsService接口，并将其注册为Spring Bean。

总结

在Spring Boot应用中同时使用OAuth2资源服务器和HTTP Basic认证时，Spring Security的自动配置行为可能会导致Basic认证的用户配置失效。通过手动定义InMemoryUserDetailsManager Bean并确保密码正确编码，我们可以有效地解决这个问题，使两种认证机制在同一个应用程序中和谐共存。理解Spring Security的自动配置条件和多WebSecurityConfigurerAdapter的@Order机制是成功实现此类混合认证的关键。

以上就是Spring Boot中OAuth2与Basic Auth共存配置指南的详细内容，更多请关注创想鸟其它相关文章！