REST使用OAuth2認證所發生的衝突

Problem

我們的Web App提供了Web Console與Rest API兩種介面。最近發現在同一瀏覽器中，一個tab登入Web Console，另一個tab做Rest API的登入認證後，會使得Web Console發生登出或取不到認證資訊的問題。

How to resolve?

經過Trace發現是由於在Security Filter的before PRE_AUTH_FILTER階段，會經過OAuth2的Resource Server Filter:

	<http name="api" pattern="/api/**" create-session="never" >
		<intercept-url pattern="/api/**" access="ROLE_ADMIN"  />
 
   		<http-basic entry-point-ref="digestEntryPoint"/>  
   		<custom-filter ref="digestFilter" after="BASIC_AUTH_FILTER" />
		<custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
	</http>

從OAuth2AuthenticationProcessingFilter程式碼可以得知，如果在同一個session中已經過認證，則此Filter會清空SecurityContext:

而OAuth2AuthenticationProcessingFilter又提供了stateless設置，讓你可以在發生此問題時，不去清掉它。而在spring-security-oauth2 2.0.8版本後，設定檔是支援此屬性設置的:

如此一來，當經過此Filter時，就會自動略過往下一個Filter去了。另外還有一個相關問題是: 在同一browser請求的url中包含access_token。這會讓OAuth2AuthenticationProcessingFilter拿這access_token做驗證，驗證失敗就會清session而產生一樣問題。這問題需要思考的是: 如果使用者輸入錯誤的access_token，但同一session已經認證過了，是要顯示access_token錯誤，還是要讓使用者可以存取呢?

顯示access_token錯誤: 如果要顯示錯誤，又不想清掉session，那你就需要override OAuth2AuthenticationProcessingFilter。
讓使用者可以存取: override TokenExtractor，讓它回傳null認證內容，以忽略認證。

我們考量到此問題發生機率很低，而且一般會操作Rest API都是透過寫程式，因此採用第二種做法。

    <oauth2:resource-server id="resourceServerFilter" token-extractor-ref="tokenExtractor"
 	 stateless="false" token-services-ref="tokenServices" entry-point-ref="oauthAuthenticationEntryPoint"/>	 
    <b:bean id="tokenExtractor"
	class="org.tonylin.web.rest.oauth.TokenExtractor"/>

public class TokenExtractor extends BearerTokenExtractor {
 
	private boolean isAuthenticated() {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null || authentication instanceof AnonymousAuthenticationToken) {
			return false;
		}
		return true;
	}
 
	@Override
	public Authentication extract(HttpServletRequest request) {
		if( isAuthenticated() )
			return null;
		return super.extract(request);
	}
 
}

Reference

留言

這個網誌中的熱門文章

Show NIC selection when setting the network command with the device option

Problem 在answer file中設定網卡名稱後，安裝時會停在以下畫面: 所使用的command參數如下: network --onboot = yes --bootproto =dhcp --ipv6 =auto --device =eth1 Diagnostic Result 這樣的參數，以前試驗過是可以安裝完成的。因此在發生這個問題後，我檢查了它的debug console: 從console得知，eth1可能是沒有連接網路線或者是網路太慢而導致的問題。後來和Ivy再三確認，有問題的是有接網路線的網卡，且問題是發生在activate階段: Solution 我想既然有retry應該就有次數或者timeout限制，因此發現在Anaconda的說明文件中( link )，有提到dhcptimeout這個boot參數。看了一些人的使用範例，應該是可以直接串在isolinux.cfg中，如下: default linux ksdevice = link ip =dhcp ks =cdrom: / ks.cfg dhcptimeout = 90 然而我在RHEL/CentOS 6.7與6.8試驗後都無效。因此我就拿了顯示的錯誤字串，問問Google大師，想找一下Anaconda source code來看一下。最後找到別人根據Anaconda code修改的版本: link ，關鍵在於setupIfaceStruct函式中的setupIfaceStruct與readNetConfig: setupIfaceStruct: 會在dhcp時設定dhcptimeout。 readNetConfig: 在writeEnabledNetInfo將timeout寫入dhclient config中；在wait_for_iface_activation內會根據timeout做retry。再來從log與code可以得知，它讀取的檔案是answer file而不是boot command line。因此我接下來的測試，就是在answer file的network command上加入dhcptimeout: network --onboot = yes --bootproto =dhcp --ipv6 =auto --device =eth1 --dhcptimeo

閱讀完整內容

解決RobotFramework從3.1.2升級到3.2.2之後，Choose File突然會整個Hand住的問題

考慮到自動測試環境的維護，我們很久以前就使用java去執行robot framework。前陣子開始處理從3.1.2升級到3.2.2的事情，主要先把明確的runtime語法錯誤與deprecate item處理好，這部分內容可以參考: link 。直到最近才發現，透過SeleniumLibrary執行Choose File去上傳檔案的動作，會導致測試案例timeout。本篇文章主要分享心路歷程與解決方法，我也送了一條issue給robot framework: link 。我的環境如下: RobotFramework: 3.2.2 Selenium: 3.141.0 SeleniumLibrary: 3.3.1 Remote Selenium Version: selenium-server-standalone-3.141.59 首先並非所有Choose File的動作都會hang住，有些測試案例是可以執行的，但是上傳一個作業系統ISO檔案一定會發生問題。後來我透過wireshark去比對新舊版本的上傳動作，因為我使用 Remote Selenium ，所以Selenium會先把檔案透過REST API發送到Remote Selenium Server上。從下圖我們可以發現，在3.2.2的最後一個TCP封包，比3.1.2大概少了500個bytes。於是就開始了我trace code之路。包含SeleniumLibrary產生要送給Remote Selenium Server的request內容，還有HTTP Content-Length的計算，我都確認過沒有問題。最後發現問題是出在socket API的使用上，就是下圖的這支code: 最後發現可能因為開始使用nio的方式送資料，但沒處理到尚未送完的資料內容，而導致發生問題。加一個loop去做計算就可以解決了。最後我有把解法提供給robot framework官方，在他們出新的版本之前，我是將改完的_socket.py放在我們自己的Lib底下，好讓我們測試可以正常進行。(shutil.py應該也是為了解某個bug而產生的樣子..)

閱讀完整內容

PostgreSQL - Unattended installation on windows

Introduction 要將別人軟體包裝到自己軟體中，不可或缺的東西就是Unattended installation。以Unattended installation來說，我們可以選擇透過Installer的silent mode安裝，也可以透過把目標軟體做成portable的版本。本篇文章分享這兩種方法，教導大家如何將PostgreSQL透過Unattended installation方式安裝到目標系統成為service。 Note. 本篇以PostgreSQL 10.7為例。 Install with installer Tips 安裝程式或反安裝程式的參數，除了可以直接上官網搜尋Installation User Guide以外，也可以直接使用help參數查詢: postgresql- 10.7 - 2 -windows-x64.exe --help Windows安裝程式主要有EnterpriseDB與BigSQL兩種。BigSQL版本安裝元件是透過網路下載且支援參數不如EnterpriseDB版本多，以我們需求來說，我們傾向於使用EnterpriseDB版本。接下來分享給大家安裝與反安裝方法。 Installation @ echo off set INSTALL_DIR =C:\postgres10 set INSTALLER =postgresql- 10.7 - 2 -windows-x64.exe rem options for installation set SSMDB_SERVICE =postgresql- 10 set MODE =--unattendedmodeui none --mode unattended set DB_PASSWD =--superpassword postgres set DB_PORT =--serverport 5432 set SERVICE_NAME =--servicename % SSMDB_SERVICE % set PREFIX =--prefix "%INSTALL_DIR%" set DATA_DIR =--datadir "%INSTALL_DIR%\data" set OPTIONS =

閱讀完整內容

阿兩的筆記本 Ryoutsu's Notebook

搜尋此網誌