Problem
我們的Web App提供了Web Console與Rest API兩種介面。最近發現在同一瀏覽器中,一個tab登入Web Console,另一個tab做Rest API的登入認證後,會使得Web Console發生登出或取不到認證資訊的問題。
How to resolve?
經過Trace發現是由於在Security Filter的before PRE_AUTH_FILTER階段,會經過OAuth2的Resource Server Filter:
<http name="api" pattern="/api/**" create-session="never" > <intercept-url pattern="/api/**" access="ROLE_ADMIN" /> <http-basic entry-point-ref="digestEntryPoint"/> <custom-filter ref="digestFilter" after="BASIC_AUTH_FILTER" /> <custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" /> </http>
從OAuth2AuthenticationProcessingFilter程式碼可以得知,如果在同一個session中已經過認證,則此Filter會清空SecurityContext:
而OAuth2AuthenticationProcessingFilter又提供了stateless設置,讓你可以在發生此問題時,不去清掉它。而在spring-security-oauth2 2.0.8版本後,設定檔是支援此屬性設置的:如此一來,當經過此Filter時,就會自動略過往下一個Filter去了。另外還有一個相關問題是: 在同一browser請求的url中包含access_token。這會讓OAuth2AuthenticationProcessingFilter拿這access_token做驗證,驗證失敗就會清session而產生一樣問題。這問題需要思考的是: 如果使用者輸入錯誤的access_token,但同一session已經認證過了,是要顯示access_token錯誤,還是要讓使用者可以存取呢?
- 顯示access_token錯誤: 如果要顯示錯誤,又不想清掉session,那你就需要override OAuth2AuthenticationProcessingFilter。
- 讓使用者可以存取: override TokenExtractor,讓它回傳null認證內容,以忽略認證。
我們考量到此問題發生機率很低,而且一般會操作Rest API都是透過寫程式,因此採用第二種做法。
<oauth2:resource-server id="resourceServerFilter" token-extractor-ref="tokenExtractor" stateless="false" token-services-ref="tokenServices" entry-point-ref="oauthAuthenticationEntryPoint"/> <b:bean id="tokenExtractor" class="org.tonylin.web.rest.oauth.TokenExtractor"/>
public class TokenExtractor extends BearerTokenExtractor { private boolean isAuthenticated() { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication == null || authentication instanceof AnonymousAuthenticationToken) { return false; } return true; } @Override public Authentication extract(HttpServletRequest request) { if( isAuthenticated() ) return null; return super.extract(request); } }
留言
張貼留言