Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题

最新推荐文章于 2025-07-07 08:52:50 发布
原创 最新推荐文章于 2025-07-07 08:52:50 发布 · 1.3w 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

当Spring Gateway作为OAuth2ResourceServer时,`hasRole`配置无效,原因是默认的`JwtGrantedAuthoritiesConverter`仅读取'scope'和'scp'作为权限。解决方法是自定义`ReactiveAuthenticationManager`,并覆盖转换器以包含jwt中的'authorities'字段。在`ServerHttpSecurity`中添加自定义配置,确保`hasRole`中的值与jwt负载中的权限值匹配。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


文章原地址

问题

当gateway充当OAuth2ResourceServer的时候,会出现hasRole配置无效的问题。

原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。

简而言之,我们需要把jwt 的Claim中authorities的值加入 这里有个人提出了这个问题,但是官方认为仅仅使用scope``scp这两个字段当做权限就足够了github issue

解决方案

我们重新定义一个ReactiveAuthenticationManager权限管理器 默认的权限管理器使用jwtGrantedAuthoritiesConverter作为默认的转换器,就是这个转换器默认只读取"scope", "scp"这两个作为权限。

JwtGrantedAuthoritiesConverter源码

来看源码,源码不长。
convert方法可以理解为转换器的调用入口,从这个方法开始看

/**
 * Extracts the {@link GrantedAuthority}s from scope attributes typically found in a
 * {@link Jwt}.
 *
 * @author Eric Deandrea
 * @since 5.2
 */
public final class JwtGrantedAuthoritiesConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
	private static final String DEFAULT_AUTHORITY_PREFIX = "SCOPE_";

	private static final Collection<String> WELL_KNOWN_AUTHORITIES_CLAIM_NAMES =
			Arrays.asList("scope", "scp");

	private String authorityPrefix = DEFAULT_AUTHORITY_PREFIX;

	private String authoritiesClaimName;

	/**
	 * Extract {@link GrantedAuthority}s from the given {@link Jwt}.
	 *
	 * @param jwt The {@link Jwt} token
	 * @return The {@link GrantedAuthority authorities} read from the token scopes
	 */
	@Override
	public Collection<Grant
最低0.47元/天 解锁文章

200万优质内容无限畅学
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 755
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
热门推荐
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
使用spring-cloud-security-oauth2来实现oauth server和resource server
02-28
使用spring-cloud-security-oauth2来实现oauth server和resource server,oauth Server和resource Server分开,resource Server实现了两种方式
【shiro】解决页面上使用shiro标签无效问题
_修铁路的、的博客
08-23 5041
场景: 今天在做页面shiro标签权限控制时,意外发现,所有都无效,检查数据库权限设置及对当前账号的授权,都没问题,而且在对应的 Realm 中 的 doGetAuthorizationInfo() 方法中断点,发现刷新页面,根本就不会进入当前鉴权方法中,经过排查,发现是 shiroConfig中忘记开启页面上使用 Shiro 标签,添加 ShiroDialect 方法后就可以了...
SpringSpring Boot + OAuth2 + JWT + Gateway的完整落地方案,包含认证流程设计
最新发布
夜雨的博客
07-07 895
Spring Boot + OAuth2 + JWT + Gateway的完整落地方案,包含认证流程设计、核心代码实现及生产级安全配置,涵盖网关全局拦截、令牌刷新等关键环节。在网关层增加限流熔断(Sentinel);使用Nacos动态管理JWT签名密钥;对接审计日志系统记录关键操作
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1802
OAuth2 Resource Server
Spring Security中html页面设置hasRole无效问题
Maskkiss的博客
09-12 7008
一、前言     帮同事解决问题的时候,偶然发现的hasRole和hasAnyAuthority的区别。当然,可能有更深入的我没看到。现在把我实际的调试结果分享给大家 二、失效原因及解决     下面是部分示例html页面代码 &lt;div sec:authorize="hasRole('R_ADMIN')"&gt; &lt;p class="b...
oauth2的资源服务器和授权服务器,基于springgateway的统一认证
PYJcsdn的博客
09-01 3091
首先引入 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework....
sample-gateway-oauth2login:结合了Spring Cloud GatewaySpring Security OAuth2的示例应用程序
01-30
总的来说,sample-gateway-oauth2login项目展示了Spring Cloud GatewaySpring Security OAuth2的深度融合,为微服务架构中的身份验证和授权提供了一种高效且安全的解决方案。开发者可以参考该项目,根据自己的需求...
spring-boot-2-oauth2-resource-server:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2资源和授权服务器实现
02-04
Spring Boot 2 Oauth2资源和授权服务器 使用用户和客户端数据库... git clone https://github.com/indrekru/spring-boot-2-oauth2-resource-server.git 您需要在您的环境中安装Maven: Mac(自制): brew install
springboot+security+thymeleaf中sec:authorize中hasRole不生效
shalyniu的博客
05-12 1675
thymeleaf编写前端web页面时需要根据权限对一些菜单进行显示控制,后端使用springsecurity进行认证 写页面时控制新增按钮只有管理员界面出现 <span sec:authorize="hasRole('ADMIN')" ><button class="layui-btn layuiadmin-btn-useradmin" data-type="edit">编辑</button></span> 但sec:authorize=“hasRole(
html form role,Spring Security中html页面设置hasRole无效问题
weixin_36131079的博客
07-01 176
HDU 4349 Xiao Ming&&num;39&semi;s Hope有这样一个性质:C(n,m)%p=C(p1,q1)*C(p2,q2).......%p,其中pkpk-1...p1,qkqk-1...q1分别是n,m在p进制下的组成. 就完了. #include&l ...opencv和javacv版本不一致Exception in thread "mai...
Spring OAuth2 Resource Server 配置
semicolon_hello的专栏
03-29 2940
Spring OAuth2 Resource Server 是 Spring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源。
serverhttpsecurity 缺少_看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer int...
weixin_33907300的博客
12-31 724
看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer introspect 错误最近在自己搭一个使用 SpringSecutiryOAuth2 的认证服务器, 这里的接口基于 SpringMVC, 而资源服务器是 SpringCloudGateway 建立的网关层,实现是 WebFlux。目的是为了在网...
Spring Security 与 OAuth2(资源服务器)
chucan4529的博客
01-26 922
Spring Security 与 OAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
Oauth2 resource server入门配置
架构路上的博客
11-02 4181
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>
OAuth2 and Friends Resource Server
来啊 快活啊
06-29 1749
security: oauth2: resource: token-info-uri: http://localhost:8080/uaa/introspect user-info-uri: # jwk: # key-set-uri: http://localhost:8080/uaa/token_keys prefer-...
【图文详解】搭建 Spring Authorization oauth2-server-resource-client-gateway-eureka 完整Demo
土味儿
05-25 3393
1、项目概述 1.1、概述 本项目是在前面章节的基础上,进行的升级改造。增加了注册中心、网关,更加贴近于实际需求。 在进行本节之前,请先搭建前面项目: 【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 【oauth2 客户端模式】Spring Authorization Server + Resource + Client 资源服务间的相互访问 1.2、整体架构图 业务流程解析 1.2.1、总体结构 总体上分为三
Spring Security OAuth2 Resource Server 中 publicKey 我希望是publicKey字符串
02-27
<think>好的,用户之前问过关于JwtDecoder设置时区的问题,现在又问了如何在Spring Security OAuth2 Resource Server中使用publicKey字符串。我需要看看这两个问题之间有没有关联,或者用户是否在构建自己的资源服务器时遇到了配置问题。 用户这次的需求很明确,就是不想使用文件或URL来加载公钥,而是直接使用字符串形式的公钥。这可能是因为他们希望将公钥嵌入到配置文件中,或者从环境变量中读取,避免维护额外的文件。这在实际部署中可能更方便,尤其是云原生应用,配置通常通过环境变量或配置中心管理。 首先,我需要回忆Spring Security OAuth2 Resource Server的配置方式。通常,配置公钥是通过jwk-set-uri或者直接指定公钥的位置,比如文件。但用户希望用字符串,所以可能需要直接解析公钥字符串成PublicKey对象。 接下来,我需要确定如何将PEM格式的公钥字符串转换为Java的PublicKey对象。用户提供的公钥可能以-----BEGIN PUBLIC KEY-----开头,这是标准的PEM格式。Java需要的是RSAPublicKey实例,所以需要解析PEM字符串,提取Base64编码的内容,转换为X.509证书,然后获取公钥。 然后,需要考虑如何在Spring配置中注入这个PublicKey。通常,JwtDecoder是通过NimbusJwtDecoder的withPublicKey方法创建的,所以需要将字符串转换为PublicKey后传入。 可能的步骤是:编写一个工具类,将PEM字符串转换为PublicKey;然后在配置类中创建Bean,比如PublicKey publicKey(),调用这个工具方法;最后创建JwtDecoder时使用这个PublicKey。 需要注意异常处理,比如无效的PEM格式,或者解析过程中的错误,应该抛出明确的异常信息,方便用户调试。 另外,用户可能有疑问,如何验证配置是否正确。可能需要建议用户使用生成的JwtDecoder来解析一个测试Token,或者检查日志是否有解码错误。 还需要考虑是否支持不同的算法,比如RSA或ECDSA。用户提供的公钥类型可能会影响解析方式,但常见的是RSA,所以示例可能以RSA为例。 最后,确保代码示例正确,比如正确处理PEM头尾,移除换行符和空格,正确解码Base64内容,然后使用KeyFactory生成公钥对象。 可能还需要提到依赖,比如Bouncy Castle库,但Java标准库应该可以处理X.509证书的解析,所以可能不需要额外依赖。 总结步骤:解析PEM字符串为PublicKey,配置JwtDecoder使用这个PublicKey,并验证配置是否正确。</think>--- ### 一、核心解决方案 **在 Spring Security OAuth2 Resource Server 中,可以通过以下步骤直接使用 PEM 格式的公钥字符串配置 JWT 验证:** --- ### 二、具体实现步骤 #### 1. 准备公钥字符串 确保公钥为标准 PEM 格式: ```java String publicKeyPem = """ -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu1SU1LfVLPHCozMxH2Mo ...(省略实际内容)... ZKLk0KgWwIDAQAB -----END PUBLIC KEY-----"""; ``` --- #### 2. 创建公钥转换工具类 ```java import java.security.KeyFactory; import java.security.NoSuchAlgorithmException; import java.security.PublicKey; import java.security.spec.InvalidKeySpecException; import java.security.spec.X509EncodedKeySpec; import java.util.Base64; public class KeyUtils { public static PublicKey parsePublicKey(String pem) { try { // 去除 PEM 头尾标记和换行符 String publicKeyContent = pem .replace("-----BEGIN PUBLIC KEY-----", "") .replace("-----END PUBLIC KEY-----", "") .replaceAll("\\s", ""); // 移除所有空白字符 // Base64 解码 byte[] keyBytes = Base64.getDecoder().decode(publicKeyContent); // 创建 X.509 格式密钥规范 X509EncodedKeySpec spec = new X509EncodedKeySpec(keyBytes); // 使用 RSA 算法生成公钥 KeyFactory keyFactory = KeyFactory.getInstance("RSA"); return keyFactory.generatePublic(spec); } catch (NoSuchAlgorithmException | InvalidKeySpecException e) { throw new RuntimeException("公钥解析失败", e); } } } ``` --- #### 3. 配置 JwtDecoder 在 Spring Security 配置类中注入 PublicKey: ```java import org.springframework.context.annotation.Bean; import org.springframework.security.oauth2.jwt.JwtDecoder; import org.springframework.security.oauth2.jwt.NimbusJwtDecoder; @Configuration public class SecurityConfig { @Bean public PublicKey publicKey() { String publicKeyPem = "-----BEGIN PUBLIC KEY-----..."; // 替换为实际公钥 return KeyUtils.parsePublicKey(publicKeyPem); } @Bean public JwtDecoder jwtDecoder(PublicKey publicKey) { return NimbusJwtDecoder.withPublicKey(publicKey).build(); } } ``` --- ### 三、关键验证点 | 验证项 | 操作指引 | |----------------------|------------------------------------------------------------------------| | **公钥格式验证** | 检查是否包含 `BEGIN/END PUBLIC KEY` 标记,内容为 Base64 编码的 DER 格式 | | **算法匹配验证** | 确认 JWT 签名算法(如 RS256)与公钥类型(RSA)一致 | | **解码测试** | 使用有效/无效令牌测试 `JwtDecoder` 的解析能力 | --- ### 四、常见问题排查 #### 1. `InvalidKeySpecException` 错误 **原因**:公钥格式错误或算法不匹配 **解决方案**: - 使用 OpenSSL 验证公钥有效性: ```bash openssl rsa -pubin -in public_key.pem -text ``` - 确保公钥生成命令正确: ```bash openssl genpkey -algorithm RSA -out private_key.pem openssl rsa -pubout -in private_key.pem -out public_key.pem ``` --- #### 2. 令牌验证失败 **调试方法**: ```java @Bean public JwtDecoder jwtDecoder(PublicKey publicKey) { NimbusJwtDecoder decoder = NimbusJwtDecoder.withPublicKey(publicKey).build(); decoder.setJwtValidator(new JwtValidator() { @Override public OAuth2TokenValidatorResult validate(Jwt jwt) { System.out.println("JWT 头信息:" + jwt.getHeaders()); System.out.println("JWT 声明:" + jwt.getClaims()); return OAuth2TokenValidatorResult.success(); } }); return decoder; } ``` --- ### 五、扩展方案对比 | 配置方式 | 优点 | 缺点 | |------------------|---------------------------|--------------------------| | **公钥字符串** | 配置灵活,无需文件 | 需处理 PEM 格式转换 | | **jwk-set-uri** | 支持动态密钥轮换 | 依赖网络可用性 | | **证书文件** | 符合传统密钥管理习惯 | 需要维护物理文件 | --- ### 六、完整代码示例 [GitHub Gist 参考示例](https://gist.github.com/example/oauth2-public-key-config) (包含完整的 PEM 处理工具类和异常处理)
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值