REST使用OAuth2認證所發生的衝突

我們的Web App提供了Web Console與Rest API兩種介面。最近發現在同一瀏覽器中,一個tab登入Web Console,另一個tab做Rest API的登入認證後,會使得Web Console發生登出或取不到認證資訊的問題。

經過Trace發現是由於在Security Filter的before PRE_AUTH_FILTER階段,會經過OAuth2的Resource Server Filter:

	<http name="api" pattern="/api/**" create-session="never" >
		<intercept-url pattern="/api/**" access="ROLE_ADMIN"  />
 
   		<http-basic entry-point-ref="digestEntryPoint"/>  
   		<custom-filter ref="digestFilter" after="BASIC_AUTH_FILTER" />
		<custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
	</http>

從OAuth2AuthenticationProcessingFilter程式碼可以得知,如果在同一個session中已經過認證,則此Filter會清空SecurityContext:

而OAuth2AuthenticationProcessingFilter又提供了stateless設置,讓你可以在發生此問題時,不去清掉它。而在spring-security-oauth2 2.0.8版本後,設定檔是支援此屬性設置的:

<oauth2:resource-server id="resourceServerFilter" stateless="false"
 token-services-ref="tokenServices" entry-point ref="oauthAuthenticationEntryPoint"/>

如此一來,當經過此Filter時,就會自動略過往下一個Filter去了。另外還有一個相關問題是: 在同一browser請求的url中包含access_token。這會讓OAuth2AuthenticationProcessingFilter拿這access_token做驗證,驗證失敗就會清session而產生一樣問題。這問題需要思考的是: 如果使用者輸入錯誤的access_token,但同一session已經認證過了,是要顯示access_token錯誤,還是要讓使用者可以存取呢?

  • 顯示access_token錯誤: 如果要顯示錯誤,又不想清掉session,那你就需要override OAuth2AuthenticationProcessingFilter。
  • 讓使用者可以存取: override TokenExtractor,讓它回傳null認證內容,以忽略認證。

我們考量到此問題發生機率很低,而且一般會操作Rest API都是透過寫程式,因此採用第二種做法。

    <oauth2:resource-server id="resourceServerFilter" token-extractor-ref="tokenExtractor"
 	 stateless="false" token-services-ref="tokenServices" entry-point-ref="oauthAuthenticationEntryPoint"/>	 
    <b:bean id="tokenExtractor"
	class="org.tonylin.web.rest.oauth.TokenExtractor"/>
public class TokenExtractor extends BearerTokenExtractor {
 
	private boolean isAuthenticated() {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null || authentication instanceof AnonymousAuthenticationToken) {
			return false;
		}
		return true;
	}
 
	@Override
	public Authentication extract(HttpServletRequest request) {
		if( isAuthenticated() )
			return null;
		return super.extract(request);
	}
 
}