springcloud oauth2 实现单点登录时 login 循环重定向问题

原创 已于 2023-01-10 15:30:02 修改 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud

于 2023-01-10 15:28:15 首次发布
在实现SpringCloudOAuth2单点登录时遇到循环重定向问题,经过排查发现是cookie.name设置问题导致。调整后,虽然仍循环重定向但出现403错误,进一步测试发现是check_token接口返回403。参考博客解决了问题。

最近实践了spring cloud oauth2实现单点登陆,在认证服务器验证了通过code获取token接口,refresh token接口,然后就去搞client了。

结果就发现,访问client资源,自动跳转到server登陆页,登陆之后跳转client的/login,携带了code,然后又重定向到server的/login,然后再次登陆,然后就一直这么死循环的重定向/login。

百思不得其解,各种网上找资料,终于然我发现了一个问题,cookie.name

附上博客链接https://blog.youkuaiyun.com/Mr_XiMu/article/details/106461106

设置了client的cookie.name,虽然还是一直循环重定向,但是此时后台报错了,喜讯啊报错就是喜讯,client在进行check_token时403了,回头再单独测试一下server的check_token接口,果然还是403,于是沿着上面博文找到了博主的认证服务器篇https://blog.youkuaiyun.com/mr_ximu/article/details/106269071

增加如下代码,完美解决

在此感谢博主@西木Qi

附上博主的博文SpringBoot集成SpringSecurity5和OAuth2 总结

n_rts
关注
3-OAuth2登录流程分析
码农小胖哥
03-16 5809
在上一篇胖哥和大家共同体验了OAuth2登录流程,直观感受了OAuth2,本篇我们来共同分析一下OAuth2登录的流程,本次分析将严重依赖trace日志。 流程分析 ①访问被拒绝 /foo/hello发起请求后会经过一系列过滤器链的过滤触发访问被拒绝,核心的日志如下: 进入HTTP资源安全处理过滤器FilterSecurityInterceptor。 发现本次/foo/hello请求是一个匿名请求。 而实际上/foo/hello需要非匿名认证。 访问决策投票器WebExpressionVoter做出了拒
SpringBoot OAuth2.0认证管理流程详解
热门推荐
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
Spring实战第六版第八章oauth2无限重定向bug
ShenHuanZhiLian的博客
08-04 459
把class AuthorizationServerConfig.java中的ClientAuthenticationMethod.CLIENT_SECRET_BASIC换为ClientAuthenticationMethod.BASIC就OK了。用curl和客户端去交换访问令牌用的clientAuthenticationMethod是BASIC,而授权服务器的却是CLIENT_SECRET_BASIC.
基于SpringSecurity OAuth2实现单点登录——未认证的请求是如何重定向到登录地址的?(SpringSecurity的认证流程)
向心行者
06-12 3510
1、前言   在上一篇《入门示例和流程分析》的流程分析过程中,当第一次(未认证的情况下)访问应用A(http://localhost:8082/index),会重定向到应用A的登录http://localhost:8082/login地址(Get请求),从浏览器这个视角我们看到的是这样的情况,那么在应用A的服务端又经历了什么呢?我们通过代码进行分析。 2SpringSecurity过滤器链   这节分析的问题,其实就是SpringSecurity关于认证过程的逻辑。SpringSecurity实现认证逻
登录后重定向至原目标页面的实现方案
友莘居士的博客
10-12 372
文章摘要:本文介绍了OAuth 2.0登录后重定向回原页面的实现方案,包括前端检查、服务器端Session存储、OAuth授权请求处理、回调处理等关键步骤。通过state参数或Session传递原始URL,在登录成功后实现安全重定向。同强调了安全注意事项,如state验证、URL白名单检查等,确保系统安全性。提供了完整的代码示例和工作流程图,涵盖前后端实现细节。
java重定向循环_Spring Security OAuth2重定向循环
weixin_33268725的博客
02-26 1078
我有一个带有依赖项的oauth2客户端spring-boot应用程序: - spring-boot 1.2.0.RC1 - spring-security-oauth2 2.0.4.RELEASE - spring-security 3.2.5.RELEASE客户端进行身份验证,身份验证在SecurityContextHolder中设置,但是当请求重定向到原始URL,过滤器链会再次开始...
cas单点登录循环重定向问题
looserge的专栏
09-15 9999
首先需要说明的是这里所有客户端都是指的asp.net程序。  最开始配置的候没注意使用的是https,浏览器一直出现 循环重定向问题,后来改为http方式就好了。网上有一些 解决办法,其中说的最多的就是建议用户直接增加配置: 其目的为:1、启用会话状态;2、开始asp.net状态服务 但是试了之后不起作用,后来看了博客园吕震宇Yale CAS + .ne
localhost 将您重定向的次数过多(这是在开始练习filter 的使用,做自动登陆的案例遇到的问题
weixin_45567738的博客
02-21 1223
首先用开发者模式查看浏览器页面的请求状况:(这里由于请求太多,浏览器自动跳转了错误页面,刷新可以看到发送了大量的也页面跳转请求。) 由于我是进行了登陆拦截,而开发者模式中显示的请求正好是我拦截后跳转的请求,又由于我拦截器的拦截路径是path="/**"因此可以想到,拦截器拦截的所有请求也包括我跳转的请求,因此只需要在配置文件中开放请求拦截路径即可。 解决办法: 1.删除cookie 2.我的问题是:在配置文件中filter 的配置为:/* 过滤了所有的访问,并且在filter的代码中有登陆成功后的页面重定向
package com.zjl.oauth.secuity.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.ClientDetailsService; import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService; import org.springframework.security.oauth2.provider.code.AuthorizationCodeServices; import org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices; import org.springframework.security.oauth2.provider.token.DefaultTokenServices; import org.springframework.security.oauth2.provider.token.TokenStore; import java.util.Base64; import java.util.concurrent.TimeUnit; import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore; import javax.sql.DataSource; /** * 数据库授权服务器 * @author zjl * @date 2023/7/13 */ @Configuration @EnableAuthorizationServer public class JdbcAuthorizationServer extends AuthorizationServerConfigurerAdapter { private final AuthenticationManager authenticationManager; private final PasswordEncoder passwordEncoder; private final DataSource dataSource; @Autowired public JdbcAuthorizationServer(AuthenticationManager authenticationManager, PasswordEncoder passwordEncoder, DataSource dataSource) { this.authenticationManager = authenticationManager; this.passwordEncoder = passwordEncoder; this.dataSource = dataSource; } @Bean // 声明TokenStore实现 public TokenStore tokenStore() { return new JdbcTokenStore(dataSource); } @Bean // 声明 ClientDetails实现 public ClientDetailsService clientDetails() { JdbcClientDetailsService jdbcClientDetailsService = new JdbcClientDetailsService(dataSource); jdbcClientDetailsService.setPasswordEncoder(passwordEncoder); return jdbcClientDetailsService; } @Override //配置使用数据库实现 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager);//认证管理器 endpoints.authorizationCodeServices(authorizationCodeServices());//配置授权码模式数据来源 endpoints.tokenStore(tokenStore());//配置令牌存储为数据库存储 // 配置TokenServices参数 DefaultTokenServices tokenServices = new DefaultTokenServices();//修改默认令牌生成服务 tokenServices.setTokenStore(endpoints.getTokenStore());//基于数据库令牌生成 tokenServices.setSupportRefreshToken(true);//是否支持刷新令牌 tokenServices.setReuseRefreshToken(true);//是否重复使用刷新令牌(直到过期) tokenServices.setClientDetailsService(endpoints.getClientDetailsService());//设置客户端信息 tokenServices.setTokenEnhancer(endpoints.getTokenEnhancer());//用来控制令牌存储增强策略 //访问令牌的默认有效期(以秒为单位)。过期的令牌为零或负数。 // tokenServices.setAccessTokenValiditySeconds((int) TimeUnit.DAYS.toSeconds(30)); // 30天 //刷新令牌的有效性(以秒为单位)。如果小于或等于零,则令牌将不会过期 // tokenServices.setRefreshTokenValiditySeconds((int) TimeUnit.DAYS.toSeconds(3)); //3天 endpoints.tokenServices(tokenServices);//使用配置令牌服务 } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.withClientDetails(clientDetails());//使用 jdbc存储 } /** * 用来配置令牌端点的安全约束,也就是这个端点谁能访问,谁不能访问。 */ @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security .allowFormAuthenticationForClients() .tokenKeyAccess("permitAll()") .checkTokenAccess("isAuthenticated()") ; } /** * 授权码模式数据来源 * @return */ @Bean public AuthorizationCodeServices authorizationCodeServices(){ return new JdbcAuthorizationCodeServices(dataSource); } } package com.zjl.oauth.secuity.config; import lombok.AllArgsConstructor; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.TokenStore; /** * 资源服务器配置 * @author zjl * @date 2023-03-20 */ @Configuration @AllArgsConstructor @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true) public class ResourceServerConfig extends ResourceServerConfigurerAdapter { private TokenStore tokenStore; /** * 配置资源服务器安全策略 * @param resources * @throws Exception */ @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.tokenStore(tokenStore); } /** * 配置资源服务器请求授权策略 * @param http * @throws Exception */ @Override public void configure(HttpSecurity http) throws Exception { http .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .requestMatchers() // 被保护的资源,如果不配置,则可以直接访问 .antMatchers("/api/**","/websocket") .and() .authorizeRequests() .antMatchers("/sso/**").permitAll() .antMatchers("/oauth/login").permitAll() .antMatchers("/oauth/check_token").permitAll() // .anyRequest().authenticated() ; } } package com.zjl.oauth.secuity.config; import com.zjl.oauth.secuity.service.MyUserDetailsService; import lombok.AllArgsConstructor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; @AllArgsConstructor @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; /** * 配置认证信息 * * @param auth * @throws Exception */ @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override @Bean protected AuthenticationManager authenticationManager() throws Exception { return super.authenticationManager(); } /** * 配置授权信息 * * @param http * @throws Exception */ @Override protected void configure(HttpSecurity http) throws Exception { http .formLogin() .loginPage("/login") .loginProcessingUrl("/login") .and() .authorizeRequests() .antMatchers("/oauth/authorize").authenticated() .anyRequest().permitAll() .and().headers().frameOptions().disable() .and().csrf().disable() ; } }这些是我的配置,里面有导致login打不开的原因吗 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> <version>2.2.5.RELEASE</version> </dependency>这个是我的maven依赖
08-29
我们正在处理Spring Security OAuth2登录界面无法显示的问题,且使用的Spring Cloud OAuth2版本为2.2.5.RELEASE。这个版本对应的Spring Boot版本约为2.2.x或2.3.x。以下将针对该版本分析可能导致登录界面无法显示的...
public void configure(HttpSecurity http) { http.headers().frameOptions().disable(); http.formLogin() .successHandler(appLoginInSuccessHandler) .and() .authorizeRequests() .antMatchers( "/actuator/**", "/oauth/captcha", "/oauth/logout", "/oauth/clear-cache", "/oauth/render/**", "/oauth/callback/**", "/oauth/revoke/**", "/oauth/refresh/**", "/token/**", "/mobile/**", "/v2/api-docs").permitAll() .anyRequest().authenticated(); }
最新发布
10-25
3. Spring Cloud OAuth2授权流程中如何处理重复登录问题? 4. 如何解决跨域请求中的认证cookie问题? 确保回答使用中文,并引用相关引用。 </think>### Spring Cloud登录后浏览器重复弹出登录问题分析 在Spring ...
Spring Security与AngularJS_React_Vue.js整合:前后端分离的安全实践的全方位教程
前后端分离与Spring Security基础 ## 1.1 前后端分离的概念和优势 前后端分离是现代Web开发中的一种架构模式,它将前端和后端的职责分离,前端专注于展示逻辑,后端负责数据处理。这种模式的优势在于: - 提高...
gateway 集成 xxlsso
09-29
XXL-SSO 作为轻量级单点登录方案,与 Spring Cloud Gateway 的集成主要通过**全局过滤器**实现身份验证。以下是详细步骤(基于 XXL-SSO 1.1.0+ 和 Spring Cloud Gateway 3.x): #### 一、核心实现步骤 1. **添加...
spring security 一直重定向到登录请求页_基于Spring Security OAuth2.0实现单点登录SSO【完整源码】...
weixin_39717110的博客
11-26 767
点击上方蓝色字体,选择“标星公众号”优质文章,第一间送达上一篇:这300G的Java资料是我师傅当年给我的,免费分享给大家下一篇:昨天分享资料不小心把百度网盘深处的秘密泄露了作者:半夜菊花茶来源:jianshu.com/p/d94bb118aa431. 概述本文简要总结一下如果使用Spring Security OAuthSpring Boot来实现SSO,文末有样例代码。整个工程包...
基于SpringSecurity OAuth2实现单点登录——应用A是如何重定向到授权服务器的授权地址呢?
向心行者
06-12 2571
1、前言   通过前面两篇的内容,我们知道:当第一次(未认证的情况下)访问应用A(http://localhost:8082/index),首先,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),然后,又会重定向到授权服务器的http://localhost:8080/oauth/authorize地址上,那么为什么会重定向到授权服务器呢,这中间发生了什么呢?我们继续通过代码进行分析。 2OAuth2ClientContextFilter和OAuth2Cl
oauth2重定向_搞不懂微信,QQ,微博认证?看这篇 OAuth2 就够了!
weixin_34435322的博客
01-24 691
点击上方“业余草”,选择“置顶公众号”第一间获取技术干货和业界资讯!☞ 免费优快云资料帮下服务 | 免费加群 ☜ 对于 OAuth2 我相信,多数人都不会陌生。我前面也写过《Shiro 集成 OAuth2》的教程,最近一段间,我们再来深入学习学习 OAuth2OAuth2 协议很简单,理解起来也不难,难在集成spring security。于是,Spring 搞了一个 s...
使用SpringSecurity一直在login.jsp反复重定向
qq_24851813的博客
06-04 1003
问题:使用SpringSecurity,登录页面不跳转 <security:form-login login-page="/login.jsp" login-processing-url="/login.do" default-target-url="/index.jsp" authentication-failure-url="/failer.jsp" authen
security,Oauth2登录后302重定向Location参数错误,Oauth2授权码模式直接获取access_token
weixin_44530390的博客
08-06 1万+
首先我是通过zuul网关(9001)进行访问登录,auth认证服务器(9002)进行原生框架认证 网上给的常规测试都是通过下面的url http://192.168.2.18:9002/oauth/authorize?client_id=client&response_type=code, 然后会自动跳转到 /login 方法。 输入用户名和密码然后进行登录,在登录过程中会有一个响应头为:Location。如图: 但是当我们直接输入***http://192.168.2.18:9002
Spring Security 单点登录
weixin_42555971的博客
11-02 923
单点登录
oauth2重定向_什么是 OAuth 2.0 授权码模式?
weixin_39762075的博客
01-24 1956
原文章 作者:Aaron Parecki译者:MoCha => 摩卡先生前言授权码模式大概是我们所最常见的OAuth 2.0 授权模式。当用户授权给app,授权码模式就会在网页应用和原生apps中使用到。本文章是本系列文章中的第一部分,我们将探讨常用的OAuth 2.0 授权模式。如果你想在我们深入之前了解更多有关OAuth 2.0的知识,请查看What the Heck is OAuth...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

n_rts

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值