多重身份验证的 Spring OAuth2 实现的完整代码已上传至 a file sharing site at this link .下面给出的说明可以在几分钟内在任何计算机上重现当前问题。
当前问题:
大多数身份验证算法都能正常工作。直到下面显示的控制流的最后,程序才会中断。具体来说,一个 Invalid CSRF token found for http://localhost:9999/uaa/oauth/token在 的末尾抛出错误第二遍 以下。上面链接中的应用程序是通过添加自定义 OAuth2RequestFactory 开发的, TwoFactorAuthenticationFilter和 TwoFactorAuthenticationController到 authserver app本 Spring Boot OAuth2 GitHub sample . 需要对以下代码进行哪些具体更改才能解决此 CSRF token 错误并启用 2 因素身份验证?
我的研究使我怀疑 CustomOAuth2RequestFactory ( API at this link ) 可能是配置解决方案的地方,因为它定义了管理 AuthorizationRequest 的方式。 s 和 TokenRequest s。
This section of the official OAuth2 spec表示 state向授权端点发出的请求的参数是 csrf 所在的位置添加 token 。
此外,链接中的代码使用 the Authorization Code Grant Type described at this link to the official spec ,这意味着流程中的步骤 C 不会更新 csrf代码,从而触发步骤 D 中的错误。(您可以在 the official spec 中查看包括步骤 C 和步骤 D 的整个流程。)
当前错误周围的控制流:
当前错误是在 期间抛出的第二遍 通过 TwoFactorAuthenticationFilter在下面的流程图中。一切都按预期工作,直到控制流进入 第二遍 .
以下流程图说明了可下载应用程序中的代码采用的两因素身份验证过程的控制流程。
具体来说,Firefox HTTP POST 序列的 header s 和 GET s 显示相同 XSRF cookie 随序列中的每个请求一起发送。 XSRF token 值在 POST /secure/two_factor_authentication 之后才引起问题,在 /oauth/authorize 触发服务器处理和 /oauth/token端点,带有 /oauth/token扔Invalid CSRF token found for http://localhost:9999/uaa/oauth/token错误。
了解上述控制流程图与/oauth/authorize的关系和 /oauth/token端点,您可以并排比较上面的流程图 with the chart for the single factor flow at the official spec在单独的浏览器窗口中。 第二遍 以上只是第二次执行单因素官方规范中的步骤,但在 期间具有更大的权限第二遍 .
日志内容:
HTTP 请求和响应 header 表明:
1.) 给 9999/login 的帖子使用正确的 username和 password提交结果重定向到 9999/authorize?client_id=acme&redirect_uri=/login&response_type=code&state=sGXQ4v后跟一个 GET 9999/secure/two_factor_authenticated .一个 XSRF 代币在这些交易所中保持不变。
2.) 给 9999/secure/two_factor_authentication 的帖子使用正确的密码发送相同的 XSRF token ,并成功重定向到 POST 9999/oauth/authorize并将其变成 TwoFactorAuthenticationFilter.doFilterInternal()然后转到 request 9999/oauth/token ,但是 9999/oauth/token拒绝请求,因为相同的旧 XSRF token 与新的 XSRF 不匹配 token 值,显然是在 期间创建的第一次通过 .1.)之间的一个明显区别和 2.)是第二个request 9999/oauth/authorize在 2.)不包含第一个请求中包含的 url 参数 9999/authorize?client_id=acme&redirect_uri=/login&response_type=code&state=sGXQ4v在 1.) ,也在 the official spec 中定义.但目前尚不清楚这是否是导致问题的原因。
此外,不清楚如何访问参数以发送来自 TwoFactorAuthenticationController.POST 的完整请求。 .我做了 parameters 的 SYSO Map在 HttpServletRequest为 POST 9999/secure/two_factor_authentication Controller 方法,它包含的只是 pinVal和 _csrf变量。
您可以在文件共享站点 by clicking on this link 上阅读所有 HTTP header 和 Spring Boot 日志。 .
失败的方法:
我试过 @RobWinch's approach to a similar problem in the Spring Security 3.2 environment ,但该方法似乎不适用于 Spring OAuth2 的上下文。具体来说,当以下XSRF更新代码块在 TwoFactorAuthenticationFilter 中被取消注释下面显示的代码,下游请求 header 确实显示了一个不同的/新的 XSRF token 值,但抛出相同的错误。
if(AuthenticationUtil.hasAuthority(ROLE_TWO_FACTOR_AUTHENTICATED)){
CsrfToken token = (CsrfToken) request.getAttribute("_csrf");
response.setHeader("XSRF-TOKEN"/*"X-CSRF-TOKEN"*/, token.getToken());
}
XSRF配置需要以 /oauth/authorize 的方式更新和 /oauth/token能够相互交谈并与客户端和资源应用程序成功管理 XSRF token 值。 也许CustomOAuth2RequestFactory是什么需要改变才能实现这一点。但是如何?CustomOAuth2RequestFactory的代码是:public class CustomOAuth2RequestFactory extends DefaultOAuth2RequestFactory {
public static final String SAVED_AUTHORIZATION_REQUEST_SESSION_ATTRIBUTE_NAME = "savedAuthorizationRequest";
public CustomOAuth2RequestFactory(ClientDetailsService clientDetailsService) {
super(clientDetailsService);
}
@Override
public AuthorizationRequest createAuthorizationRequest(Map<String, String> authorizationParameters) {
ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
HttpSession session = attr.getRequest().getSession(false);
if (session != null) {
AuthorizationRequest authorizationRequest = (AuthorizationRequest) session.getAttribute(SAVED_AUTHORIZATION_REQUEST_SESSION_ATTRIBUTE_NAME);
if (authorizationRequest != null) {
session.removeAttribute(SAVED_AUTHORIZATION_REQUEST_SESSION_ATTRIBUTE_NAME);
return authorizationRequest;
}
}
return super.createAuthorizationRequest(authorizationParameters);
}
}
TwoFactorAuthenticationFilter的代码是://This class is added per: https://stackoverflow.com/questions/30319666/two-factor-authentication-with-spring-security-oauth2
/**
* Stores the oauth authorizationRequest in the session so that it can
* later be picked by the {@link com.example.CustomOAuth2RequestFactory}
* to continue with the authoriztion flow.
*/
public class TwoFactorAuthenticationFilter extends OncePerRequestFilter {
private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
private OAuth2RequestFactory oAuth2RequestFactory;
//These next two are added as a test to avoid the compilation errors that happened when they were not defined.
public static final String ROLE_TWO_FACTOR_AUTHENTICATED = "ROLE_TWO_FACTOR_AUTHENTICATED";
public static final String ROLE_TWO_FACTOR_AUTHENTICATION_ENABLED = "ROLE_TWO_FACTOR_AUTHENTICATION_ENABLED";
@Autowired
public void setClientDetailsService(ClientDetailsService clientDetailsService) {
oAuth2RequestFactory = new DefaultOAuth2RequestFactory(clientDetailsService);
}
private boolean twoFactorAuthenticationEnabled(Collection<? extends GrantedAuthority> authorities) {
System.out.println(">>>>>>>>>>> List of authorities includes: ");
for (GrantedAuthority authority : authorities) {
System.out.println("auth: "+authority.getAuthority() );
}
return authorities.stream().anyMatch(
authority -> ROLE_TWO_FACTOR_AUTHENTICATION_ENABLED.equals(authority.getAuthority())
);
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
System.out.println("------------------ INSIDE TwoFactorAuthenticationFilter.doFilterInternal() ------------------------");
// Check if the user hasn't done the two factor authentication.
if (AuthenticationUtil.isAuthenticated() && !AuthenticationUtil.hasAuthority(ROLE_TWO_FACTOR_AUTHENTICATED)) {
System.out.println("++++++++++++++++++++++++ AUTHENTICATED BUT NOT TWO FACTOR +++++++++++++++++++++++++");
AuthorizationRequest authorizationRequest = oAuth2RequestFactory.createAuthorizationRequest(paramsFromRequest(request));
/* Check if the client's authorities (authorizationRequest.getAuthorities()) or the user's ones
require two factor authenticatoin. */
System.out.println("======================== twoFactorAuthenticationEnabled(authorizationRequest.getAuthorities()) is: " + twoFactorAuthenticationEnabled(authorizationRequest.getAuthorities()) );
System.out.println("======================== twoFactorAuthenticationEnabled(SecurityContextHolder.getContext().getAuthentication().getAuthorities()) is: " + twoFactorAuthenticationEnabled(SecurityContextHolder.getContext().getAuthentication().getAuthorities()) );
if (twoFactorAuthenticationEnabled(authorizationRequest.getAuthorities()) ||
twoFactorAuthenticationEnabled(SecurityContextHolder.getContext().getAuthentication().getAuthorities())) {
// Save the authorizationRequest in the session. This allows the CustomOAuth2RequestFactory
// to return this saved request to the AuthenticationEndpoint after the user successfully
// did the two factor authentication.
request.getSession().setAttribute(CustomOAuth2RequestFactory.SAVED_AUTHORIZATION_REQUEST_SESSION_ATTRIBUTE_NAME, authorizationRequest);
// redirect the the page where the user needs to enter the two factor authentiation code
redirectStrategy.sendRedirect(request, response,
ServletUriComponentsBuilder.fromCurrentContextPath()
.path(TwoFactorAuthenticationController.PATH)
.toUriString());
return;
}
}
//THE NEXT "IF" BLOCK DOES NOT RESOLVE THE ERROR WHEN UNCOMMENTED
//if(AuthenticationUtil.hasAuthority(ROLE_TWO_FACTOR_AUTHENTICATED)){
// CsrfToken token = (CsrfToken) request.getAttribute("_csrf");
// this is the value of the token to be included as either a header or an HTTP parameter
// response.setHeader("XSRF-TOKEN", token.getToken());
//}
filterChain.doFilter(request, response);
}
private Map<String, String> paramsFromRequest(HttpServletRequest request) {
Map<String, String> params = new HashMap<>();
for (Entry<String, String[]> entry : request.getParameterMap().entrySet()) {
params.put(entry.getKey(), entry.getValue()[0]);
}
return params;
}
}
tar -zxvf oauth2.tar(2).gzauthserver导航至 oauth2/authserver然后输入 mvn spring-boot:run .resource导航至 oauth2/resource然后输入 mvn spring-boot:runui导航至 oauth2/ui然后输入 mvn spring-boot:runhttp : // localhost : 8080Login然后输入 Frodo作为用户和 MyRing作为密码,点击提交。5309如 Pin Code然后点击提交。 这将触发上面显示的错误。 最佳答案
一个想法突然出现在我的脑海中:
如果激活 session 固定,则在用户成功通过身份验证后会创建一个新 session (请参阅 SessionFixationProtectionStrategy)。如果您使用默认的 HttpSessionCsrfTokenRepository,这当然也会创建一个新的 csrf token 。由于您提到了 XSRF-TOKEN header ,因此我假设您使用了一些 JavaScript 前端。我可以想象用于登录的原始 csrf token 会被存储并在之后重新使用 - 这将不起作用,因为此 csrf token 不再有效。
您可以尝试禁用 session 固定( http.sessionManagement().sessionFixation().none() 或 <session-management session-fixation-protection="none"/> )或在登录后重新获取当前的 CSRF token 。
关于spring -/oauth/token 中的 XSRF token 无效,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37061697/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
我需要从一个View访问多个模型。以前,我的links_controller仅用于提供以不同方式排序的链接资源。现在我想包括一个部分(我假设)显示按分数排序的顶级用户(@users=User.all.sort_by(&:score))我知道我可以将此代码插入每个链接操作并从View访问它,但这似乎不是“ruby方式”,我将需要在不久的将来访问更多模型。这可能会变得很脏,是否有针对这种情况的任何技术?注意事项:我认为我的应用程序正朝着单一格式和动态页面内容的方向发展,本质上是一个典型的网络应用程序。我知道before_filter但考虑到我希望应用程序进入的方向,这似乎很麻烦。最终从任何
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我想向我的Controller传递一个参数,它是一个简单的复选框,但我不知道如何在模型的form_for中引入它,这是我的观点:{:id=>'go_finance'}do|f|%>Transferirde:para:Entrada:"input",:placeholder=>"Quantofoiganho?"%>Saída:"output",:placeholder=>"Quantofoigasto?"%>Nota:我想做一个额外的复选框,但我该怎么做,模型中没有一个对象,而是一个要检查的对象,以便在Controller中创建一个ifelse,如果没有检查,请帮助我,非常感谢,谢谢
我注意到像bundler这样的项目在每个specfile中执行requirespec_helper我还注意到rspec使用选项--require,它允许您在引导rspec时要求一个文件。您还可以将其添加到.rspec文件中,因此只要您运行不带参数的rspec就会添加它。使用上述方法有什么缺点可以解释为什么像bundler这样的项目选择在每个规范文件中都需要spec_helper吗? 最佳答案 我不在Bundler上工作,所以我不能直接谈论他们的做法。并非所有项目都checkin.rspec文件。原因是这个文件,通常按照当前的惯例,只
我正在使用active_admin,我在Rails3应用程序的应用程序中有一个目录管理,其中包含模型和页面的声明。时不时地我也有一个类,当那个类有一个常量时,就像这样:classFooBAR="bar"end然后,我在每个必须在我的Rails应用程序中重新加载一些代码的请求中收到此警告:/Users/pupeno/helloworld/app/admin/billing.rb:12:warning:alreadyinitializedconstantBAR知道发生了什么以及如何避免这些警告吗? 最佳答案 在纯Ruby中:classA