问题描述
您好,我想分配基于 Okta 组并以 Okta 组命名的 Spring Security 规则。 假设我的组称为 Foo 和 Bar。
我已经设置了 okta 应用来声明群组。
groups groups: matches regex .* Any access Always
我的 POM 如下所示:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.3.7.RELEASE</version>
<relativePath /> <!-- lookup parent from repository -->
</parent>
<groupId>CLASSIFIED</groupId>
<artifactId>CLASSIFIED</artifactId>
<version>CLASSIFIED</version>
<name>CLASSIFIED</name>
<description>CLASSIFIED</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-couchbase</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.okta.spring</groupId>
<artifactId>okta-spring-boot-starter</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
我的 Application.Properties 如下所示:
okta.oauth2.redirect-uri=/authorization-code/callback
okta.oauth2.postlogoutRedirectUri=http://localhost:8080/
okta.oauth2.issuer=https://CLASSIFIEDURL/oauth2/default
okta.oauth2.client-id=CLASSIFIED
okta.oauth2.client-secret=CLASSIFIED
rolesClaim=groups
我的安全配置如下所示:
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
getHttp().authorizeRequests()
// Require authentication for all requests
.anyRequest().authenticated()
// enable OAuth2/OIDC
.and()
.oauth2Login();
受限页面的服务器如下所示:
@GetMapping("/classified")
@PreAuthorize("hasAuthority('ROLE_FOO')")
public String classified(@AuthenticationPrincipal OidcUser user,Model model) {
some unimportant logic
return "classified";
}
@GetMapping("/42")
@PreAuthorize("hasAuthority('ROLE_BAR')")
public String fortytwo(@AuthenticationPrincipal OidcUser user,Model model) {
some unimportant logic
return "fortytwo";
}
角色 FOO 和 BAR 未授予用户,因此他们无法访问受限页面。
非限制页面也显示此消息: 您是 [ROLE_USER,ScopE_address,ScopE_email,ScopE_offline_access,ScopE_openid,ScopE_phone,ScopE_profile]!
所以很确定问题是,用户没有从 Okta 接收角色。 ([ ] 括号中的文本是 user.getAuthorities() 的结果。)
现在我想知道是否缺少任何重要的类,或者我在配置时是否犯了错误。
解决方法
如果您将 groups 声明添加到 ID 令牌,它应该可以工作。
另外,您的 rolesClaim=groups 不正确。密钥应命名为 okta.oauth2.groupsClaim(根据 https://github.com/okta/okta-spring-boot)。但是,由于 groups 是默认值,因此您可以将其删除。