Здравствуйте, я хотел бы назначить правила безопасности Spring на основе групп Okta и названы в их честь. Предположим, что мои группы называются Foo и Bar.
Я настроил приложение okta, чтобы претендовать на группы.
groups groups: matches regex .* Any access Always
Мой ПОМ выглядит так:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.3.7.RELEASE</version>
<relativePath /> <!-- lookup parent from repository -->
</parent>
<groupId>CLASSIFIED</groupId>
<artifactId>CLASSIFIED</artifactId>
<version>CLASSIFIED</version>
<name>CLASSIFIED</name>
<description>CLASSIFIED</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-couchbase</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.okta.spring</groupId>
<artifactId>okta-spring-boot-starter</artifactId>
<version>1.4.0</version>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
Мой Application.Properties выглядит так:
okta.oauth2.redirect-uri=/authorization-code/callback
okta.oauth2.postLogoutRedirectUri=http://localhost:8080/
okta.oauth2.issuer=https://CLASSIFIEDURL/oauth2/default
okta.oauth2.client-id=CLASSIFIED
okta.oauth2.client-secret=CLASSIFIED
rolesClaim=groups
Моя конфигурация безопасности выглядит так:
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
getHttp().authorizeRequests()
// Require authentication for all requests
.anyRequest().authenticated()
// enable OAuth2/OIDC
.and()
.oauth2Login();
И Серверы для закрытых страниц выглядят так:
@GetMapping("/classified")
@PreAuthorize("hasAuthority('ROLE_FOO')")
public String classified(@AuthenticationPrincipal OidcUser user,Model model) {
some unimportant logic
return "classified";
}
@GetMapping("/42")
@PreAuthorize("hasAuthority('ROLE_BAR')")
public String fortytwo(@AuthenticationPrincipal OidcUser user,Model model) {
some unimportant logic
return "fortytwo";
}
Роли FOO и BAR не предоставляются пользователю, поэтому он не может получить доступ к страницам с ограниченным доступом.
Также на странице без ограничений отображается это сообщение: вы [ROLE_USER, SCOPE_address, SCOPE_email, SCOPE_offline_access, SCOPE_openid, SCOPE_phone, SCOPE_profile]!
Так что вполне уверен, что проблема в том, что пользователь не получает роль от Окты. (Текст в квадратных скобках [ ] является результатом user.getAuthorities().)
Теперь мне интересно, отсутствуют ли какие-либо важные классы или я сделал ошибку при настройке.