问题描述
我已经针对 gitlab 存储库设置了 JHipster (3.9.0) 的基于 OAuth2 的安装(spring-security-oauth2-core 5.2.4)。主要遵循 https://www.jhipster.tech/security/#oauth2 但使用 gitlab 而不是 keycloak。
这是 application.yml 的摘录:
spring: ...
security:
oauth2:
client:
provider:
oidc:
issuer-uri: https://gitlab.mysite.com
registration:
oidc:
client-id: 1234123412322312312312312312321312321312
client-secret: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
确实,oauth2-authentication 运行良好,直到会话内部过期。当客户端返回 jsession-Id cookie 时,底层底层基础设施会抛出一个 java.lang.IllegalStateException: UT000010: Session is invalid。
似乎 org.springframework.security.oauth2.client.web.HttpSessionOAuth2AuthorizationRequestRepository.saveAuthorizationRequest 将授权请求存储在用户会话中,而不关心会话管理配置:(请参阅下面的最后一行)
@Override
public void saveAuthorizationRequest(OAuth2AuthorizationRequest authorizationRequest,HttpServletRequest request,HttpServletResponse response) {
Assert.notNull(request,"request cannot be null");
Assert.notNull(response,"response cannot be null");
if (authorizationRequest == null) {
this.removeAuthorizationRequest(request,response);
return;
}
String state = authorizationRequest.getState();
Assert.hasText(state,"authorizationRequest.state cannot be empty");
Map<String,OAuth2AuthorizationRequest> authorizationRequests = this.getAuthorizationRequests(request);
authorizationRequests.put(state,authorizationRequest);
request.getSession().setAttribute(this.sessionAttributeName,authorizationRequests);
}
这种方法似乎与 JHipster 的基于 JWT 的无状态身份验证方法相矛盾(参见例如 https://github.com/jhipster/generator-jhipster/issues/8627)。 无论如何,spring2 OAuth2 管理似乎伪造了经典的负载平衡方法。
有没有办法在 spring 中配置 OAuth2 管理以与 GitLab 无状态地工作?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)