REST使用OAuth2認證所發生的衝突

我們的Web App提供了Web Console與Rest API兩種介面。最近發現在同一瀏覽器中，一個tab登入Web Console，另一個tab做Rest API的登入認證後，會使得Web Console發生登出或取不到認證資訊的問題。

經過Trace發現是由於在Security Filter的before PRE_AUTH_FILTER階段，會經過OAuth2的Resource Server Filter:

	<http name="api" pattern="/api/**" create-session="never" >
		<intercept-url pattern="/api/**" access="ROLE_ADMIN"  />
 
   		<http-basic entry-point-ref="digestEntryPoint"/>  
   		<custom-filter ref="digestFilter" after="BASIC_AUTH_FILTER" />
		<custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
	</http>

從OAuth2AuthenticationProcessingFilter程式碼可以得知，如果在同一個session中已經過認證，則此Filter會清空SecurityContext:

而OAuth2AuthenticationProcessingFilter又提供了stateless設置，讓你可以在發生此問題時，不去清掉它。而在spring-security-oauth2 2.0.8版本後，設定檔是支援此屬性設置的:

<oauth2:resource-server id="resourceServerFilter" stateless="false"
 token-services-ref="tokenServices" entry-point ref="oauthAuthenticationEntryPoint"/>

如此一來，當經過此Filter時，就會自動略過往下一個Filter去了。另外還有一個相關問題是: 在同一browser請求的url中包含access_token。這會讓OAuth2AuthenticationProcessingFilter拿這access_token做驗證，驗證失敗就會清session而產生一樣問題。這問題需要思考的是: 如果使用者輸入錯誤的access_token，但同一session已經認證過了，是要顯示access_token錯誤，還是要讓使用者可以存取呢?

• 顯示access_token錯誤: 如果要顯示錯誤，又不想清掉session，那你就需要override OAuth2AuthenticationProcessingFilter。
• 讓使用者可以存取: override TokenExtractor，讓它回傳null認證內容，以忽略認證。

我們考量到此問題發生機率很低，而且一般會操作Rest API都是透過寫程式，因此採用第二種做法。

    <oauth2:resource-server id="resourceServerFilter" token-extractor-ref="tokenExtractor"
 	 stateless="false" token-services-ref="tokenServices" entry-point-ref="oauthAuthenticationEntryPoint"/>	 
    <b:bean id="tokenExtractor"
	class="org.tonylin.web.rest.oauth.TokenExtractor"/>

public class TokenExtractor extends BearerTokenExtractor {
 
	private boolean isAuthenticated() {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null || authentication instanceof AnonymousAuthenticationToken) {
			return false;
		}
		return true;
	}
 
	@Override
	public Authentication extract(HttpServletRequest request) {
		if( isAuthenticated() )
			return null;
		return super.extract(request);
	}
 
}

• oauth2 Lib提供stateless設置
• spring-security-oauth2 2.0.8 on Maven
• REST Authentication using OAUTH 2.0 Resource Owner Password Flow protocol
• Spring Java Config
• Understand Spring Security Filters
• OAuth2AuthenticationProcessingFilter.java

---