Обратный вызов Spring Security OAuth2 redirect_uri приводит к ошибке 404
Я пытаюсь написать веб-приложение, которое позволяет аутентификацию с помощью JDBC или Google / Facebook; с использованием Spring Security 5.0.x. У меня есть действующий идентификатор и секретный код клиента Google. Веб-поток OAuth2 правильно направляет меня в Google для выбора и согласия учетной записи, но обратный вызов redirect_uri не работает с ошибкой 404. Я не вижу, что я делаю неправильно.
@Configuration
@EnableScheduling
@EnableWebSecurity
public class WebSecurityConfig
extends WebSecurityConfigurerAdapter
{
private static final Logger _logger = LogManager.getLogger (WebSecurityConfig.class);
private static String
SuccessUrl = "/api/auth/login-success",
FailureUrl = "/api/auth/login-failure",
LogoutUrl = "/api/auth/logout-done";
private static String
PGoogleId = "oauth2.google.id",
PGoogleSecret = "oauth2.google.secret",
PFacebookId = "oauth2.facebook.id",
PFacebookSecret = "oauth2.google.secret";
private final List<ClientRegistration> _regns;
@Autowired
private AuthSuccessHandler _success;
@Autowired
private AuthFailureHandler _failure;
@Autowired
private DataSource _source;
@Autowired
private MezoUserManager _userManager;
/**
* Sole Constructor
*/
public WebSecurityConfig ()
{
_regns = new ArrayList<> ();
}
@Autowired
public void setPropertiesFactory (
PropertiesFactoryBean factory)
throws IOException, AddressException
{
Properties p = factory.getObject ();
extractIdSecret (CommonOAuth2Provider.GOOGLE.getBuilder ("google"), PGoogleId, PGoogleSecret, p);
extractIdSecret (CommonOAuth2Provider.FACEBOOK.getBuilder ("facebook"), PFacebookId, PFacebookSecret, p);
}
private void extractIdSecret (
ClientRegistration.Builder builder,
String idKey,
String secretKey,
Properties properties)
{
String id = properties.getProperty (idKey);
String secret = properties.getProperty (secretKey);
if (StringUtils.isBlank (id) || StringUtils.isBlank (secret))
return;
_regns.add (builder.clientId (id).clientSecret (secret).build ());
}
@Override
protected void configure (
HttpSecurity http)
throws Exception
{
_success.setUrl (SuccessUrl);
_failure.setUrl (FailureUrl);
JdbcTokenRepositoryImpl repo = new JdbcTokenRepositoryImpl ();
repo.setDataSource (_source);
http
.authorizeRequests ()
.antMatchers ("/api/profile/**").authenticated ()
.antMatchers ("/api/users/**").hasAuthority (Authority.ROLE_ADMIN.name ())
.antMatchers ("/api/**").permitAll ()
.and ()
.exceptionHandling ()
.authenticationEntryPoint (new Http403ForbiddenEntryPoint())
.and ()
.formLogin ()
.loginProcessingUrl ("/login")
.loginPage ("/")
.successHandler (_success)
.failureHandler (_failure)
.and ()
.logout ()
.logoutUrl ("/logout")
.logoutSuccessUrl (LogoutUrl)
.and ()
.rememberMe ()
.tokenRepository (repo)
.tokenValiditySeconds (1209600)
.rememberMeParameter ("remember-me")
.and ()
.csrf ().disable ();
if (!_regns.isEmpty ())
{
http.oauth2Login ()
.clientRegistrationRepository (new InMemoryClientRegistrationRepository (_regns));
_logger.debug ("OAuth2 entabled");
}
}
@Override
protected void configure (
AuthenticationManagerBuilder builder)
throws Exception
{
DaoAuthenticationProvider provider = new DaoAuthenticationProvider ();
provider.setUserDetailsService (_userManager);
provider.setPasswordEncoder (encoder ());
builder.authenticationProvider (provider);
builder.userDetailsService (_userManager);
}
@Bean
public BCryptPasswordEncoder encoder ()
{
return new BCryptPasswordEncoder ();
}
}
Обратный звонок от Google направляется в нужное место:
http://localhost:8080/mezo/login/oauth2/code/google?state=.....
Но мое веб-приложение жалуется на:
HTTP Status 404 - /mezo/login
Может ли кто-нибудь увидеть, что я пропустил в своем конфиге? Почему Spring Security не настраивает автоматически фильтры для uri обратного вызова?
Обратите внимание, что вход в систему с использованием JDBC в настоящее время работает с этой конфигурацией.
Стоит ли изучать PHP в 2026-2027 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
2
0
1 223
1
Ответы 1
Исправление должно было быть немного более либеральным с antMatchers(). В частности, продление:
.antMatchers ("/api/**").permitAll ()
с участием:
.antMatchers ("/api/**", "/login/**").permitAll ()
Да, я не совсем уверен, почему он сообщил о 404 вместо чего-то более связного.
—
12.01.2020 20:12
Другие вопросы по теме
Google App Engine - Python - Flask - oauth2client - ошибка «Недопустимое состояние запроса»
Как работает список файлов / папок на Google Диске?
Несоответствие URI перенаправления - Получите токены доступа Google (OAuth 2)
Отслеживание ошибок Mantis с OAuth 2.0
Получить доступ к Gmail access_token
Как использовать строку JSON в качестве учетных данных вместо пути к файлу для Python с Google API
Межсерверная аутентификация Appengine и авторизация на уровне домена Google
GmailApp.sendEmail (...) создает предупреждение о фишинге
Вход с Google временно отключен для приложения
OAuth Google Analytics API после нажатия кнопки "Разрешить" не может подключиться к локальному хосту
Похожие вопросы
LDAP: код ошибки 50 - Недостаточные права доступа
Jackson MismatchedInputException: нет содержимого для сопоставления из-за конца ввода
Как ограничить определенный домен для входа в систему с помощью Spring-Boot и OAuth2 без AuthoritiesExtractor?
Spring Boot OAuth2 при создании неявного JWT?
Spring MockMvc без учета ролей
API входа в Spring Boot с интерфейсом Angular 6
ACL безопасности Spring: я не могу обновить ACL (SQLIntegrityConstraintViolationException)
Простое приложение для Spring Boot и HTTP-аутентификации
Ограничение безопасности Spring для одновременного входа пользователей
Как использовать токены JWT для обеспечения безопасности загрузки Spring
Действительно ли разрешила разрешитьAll () со статусом 404?