2. 程式人生 > >Spring security oauth2 "no bean resolver registered" 錯誤踩坑

Spring security oauth2 "no bean resolver registered" 錯誤踩坑

阿新 發佈:2018-12-18

Spring security oauth2 “no bean resolver registered” 錯誤踩坑

錯誤堆疊資訊:

java.lang.IllegalArgumentException: Failed to evaluate expression '#oauth2.throwOnError(@rbacService.hasPermission(request, authentication))'

Caused by: org.springframework.expression.spel.SpelEvaluationException: EL1057E: No bean resolver registered in the context to resolve access to bean 'rbacService'

在實現rbac註解時,一開始參考他人程式碼,繼承的是WebSecurityConfigurerAdapter,按如下程式碼執行後,發現帶上token訪問,獲得到的Authentication為匿名使用者(其實是已經使用admin角色使用者登入。)。後參閱資料,猜測可能是注入順序的問題,加上@Order註解後,便修改了繼承類為ResourceServerConfigurerAdapter,便出現上述錯誤堆疊資訊。

import com.jiandian.security.authentication.AuthorizeConfigManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.ApplicationContext;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.expression.OAuth2WebSecurityExpressionHandler;

@EnableResourceServer
@EnableWebSecurity
@Configuration
public class ApiSecurityConfig extends WebSecurityConfigurerAdapter {

    // Todo 這裡應該選擇哪個bean
    @Autowired
    private AuthorizeConfigManager coreAuthorizeConfigManagerImpl;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/hello").permitAll();
        // .anyRequest()
        // .access("@rbacService.hasPermission(request, authentication)");

        coreAuthorizeConfigManagerImpl.config(http.authorizeRequests());
    }
}

在spring的github issue中,找到類似問題。

https://github.com/spring-projects/spring-security-oauth/issues/730#issuecomment-219480394

之後,加入了OAuth2WebSecurityExpressionHandler,在ApiSecurityConfig中加入程式碼,最後完整程式碼如下:

import com.jiandian.security.authentication.AuthorizeConfigManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.ApplicationContext;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.expression.OAuth2WebSecurityExpressionHandler;

@EnableResourceServer
@EnableWebSecurity
@Configuration
public class ApiSecurityConfig extends ResourceServerConfigurerAdapter {

    // Todo 這裡應該選擇哪個bean
    @Autowired
    private AuthorizeConfigManager coreAuthorizeConfigManagerImpl;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/hello").permitAll()
                .anyRequest()
                 .access("@rbacService.hasPermission(request, authentication)");
    }


    // 之後引入的bean是為了解決no bean resolver registered的問題
    // https://github.com/spring-projects/spring-security-oauth/issues/730#issuecomment-219480394

    @Autowired
    private OAuth2WebSecurityExpressionHandler expressionHandler;
    @Bean
    public OAuth2WebSecurityExpressionHandler oAuth2WebSecurityExpressionHandler(ApplicationContext applicationContext) {
        OAuth2WebSecurityExpressionHandler expressionHandler = new OAuth2WebSecurityExpressionHandler();
        expressionHandler.setApplicationContext(applicationContext);
        return expressionHandler;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.expressionHandler(expressionHandler);
    }
}

相關推薦

Spring security oauth2 "no bean resolver registered" 錯誤

Spring security oauth2 “no bean resolver registered” 錯誤踩坑 錯誤堆疊資訊: java.lang.IllegalArgumentException: Failed to evaluate expressio

OAuth2.0學習(4-1)Spring Security OAuth2.0 - 代碼分析

endpoint manager authent work cor tro 過程 pro efi 1、org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

spring security oauth2.0 實現

規範 ppi basic final pre 代碼 處理 state 三方  oauth應該屬於security的一部分。關於oauth的的相關知識可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.htm

spring security oauth2認證中心 集成zuul網關的代碼分析

負載 很好 結合 gate conf git oauth2 註冊 通過 zuul作為業務網關需要對其內部的服務進行權限控制,采用oauth2的資源服務器集成到zuul中可以很好的保護zuul內部的服務,需要搭建服務註冊中心,認證中心,鑒權中心三大板塊,其中鑒權中心是和zuu

Spring Security +Oauth2 +Spring boot 動態定義權限

第三方 決策管理 oauth2 跳過 請求 code com 授權 並且 Oauth2介紹:Oauth2是為用戶資源的授權定義了一個安全、開放及簡單的標準,第三方無需知道用戶的賬號及密碼,就可獲取到用戶的授權信息,並且這是安全的。 簡單的來說,當用戶登陸網站的時候,需要賬號

Spring Security Oauth2 permitAll()方法小記

ted 分享圖片 eth con bus led cat and perf 黃鼠狼在養雞場山崖邊立了塊碑,寫道:“不勇敢地飛下去,你怎麽知道自己原來是一只搏擊長空的鷹?!” 從此以後 黃鼠狼每天都能在崖底吃到那些摔死的雞! 前言 上周五有網友問道,在使用spr

基於spring-security-oauth2搭建授權服務器(一)

常用 遊戲 安全性 獲取 部分 tools token 界面 作者 背景:需要API網關控制權限,單點登陸。 當前關於這方面的系統資料較少,因此大多是找尋網上零散的示例解析,結合官方文檔中的demo再加上源碼跟蹤調試來進行學習與搭建。但由於涉及的知識點較多,且零散示

Spring Security OAuth2 授權失敗(401 問題整理

控制 默認 pub available cli npr href sta -s Spring Cloud架構中采用Spring Security OAuth2作為權限控制,關於OAuth2詳細介紹可以參考 http://www.ruanyifeng.com/blo

Spring Security OAuth2 授權碼模式

 背景:     由於業務實現中涉及到接入第三方系統(app接入有贊商城等),所以涉及到第三方系統需要獲取使用者資訊(使用者手機號、姓名等),為了保證使用者資訊的安全和接入方式的統一, 採用Oauth2四種模式之一的授權碼模式。  介紹:   &nbs

Spring Security OAuth2 快取使用jackson序列化的處理

不知道這個問題有沒有人遇到或者處理過,Spring Security OAuth2的tokenStore的redis快取預設的序列化策略是jdk序列化,這意味著redis裡面的值是無法閱讀的狀態,而且這個快取也無法被其他語言的web應用所使用,於是就打算使用最常見的json序列化策略來儲存。 這個問題想處理

Spring Security Oauth2 示例

所有示例的依賴如下(均是SpringBoot專案) pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <

Spring Security OAuth2 JWT實現SSO

 轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84032850      在這裡我們以一臺伺服器和2臺客戶端做測試,在客戶端1進行登陸之後,訪問客服端2的時候不需要進行登陸就可訪問(類

Spring Security Oauth2使用JWT生成Token

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我們平時使用oauth2的協議中,生成的token是基於oauth2協議本身的生成策略,如下面的程式碼(一般在登陸成功的handler中生成token).:

springboot使用Spring Security+OAuth2做許可權控制

文章來源:http://lxgandlz.cn/404.html     前面有一篇文章Spring+Spring Security+OAuth2實現REST API許可權控制,講了Spring+Spring Security+OAuth2來實現REST API許可權

Spring security oauth2-客戶端模式,簡化模式,密碼模式(Finchley版本)

一、客戶端模式原理解析(來自理解OAuth 2.0) 客戶端模式(Client Credentials Grant)指客戶端以自己的名義,而不是以使用者的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式並不屬於OAuth框架所要解決的問題。在這種模式中,使用者直接向客戶端註冊,客戶端

Spring Security Oauth2-授權碼模式(Finchley版本)

一、授權碼模式原理解析(來自理解OAuth 2.0) 授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。其具體的流程如下: 具體步驟: A:使用者訪問客戶端(cli

Spring Security Oauth2 單點登入案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Oauth2 OAuth是一個關於授權的開放網路標準,在全世界得到的廣泛的應用,目前是2.0的版本。OAuth2在“客戶端”與“服務提供商”之間

spring-security-oauth2(四) 圖片驗證碼

圖片驗證碼 圖片驗證碼生成介面 認證流程加入圖片驗證碼校驗 圖片驗證碼重構 1.圖片驗證碼生成介面 呼叫com.google.code.kaptcha.Producer生成圖片驗證碼 將隨機數存到session快取中 將生成的圖片寫到響應流中

spring-security-oauth2(三) 認證流程原始碼分析

認證流程原始碼分析 之前的程式碼中,我們自定義了登陸路徑,自定義成功和失敗處理器以及自定義的使用者登陸資訊校驗,下面我們通過簡單的原始碼分析,來把這些串聯起來 認證流程處理說明 認證結果如何在多個請求之間共享 獲取認證使用者資訊 認證處理流程說明 spring-