OAuth2 mit Spring boot und Java

[Husker]

Hallo ich versuche Aktuell eine REST API zu erstellen, ich hatte es erst über Swagger versucht, musst aber feststellen das die JAVA Implementation von Swagger noch nicht wirklich gut ist, gehopst wie gesprungen, also habe ich versucht das mit Spring Boot zu machen.

das Erste Beispiel aus Basis dieser Seite:
https://gigsterous.github.io/engineering/2017/03/01/spring-boot-4.html
lief auch erstmal super, das Beispiel lief und machte das was ich wollte. Soweit so gut, also habe ich versucht das Beispiel zu in meinem eigenen Projekt nach zubauen, auch das lief soweit erst mal gut, leider ist es so das ich mich an der API nicht anmelden kann.

ich bekomme immer wieder die meldung:
{"timestamp":1514905794221,"status":401,"error":"Unauthorized","message":"Bad credentials","path":"/Api/oauth/token"}

erst dachte ich das er aus irgendwelche Gründen den Benutzer nicht sauber aus der DB laden kann, oder das Passwort nicht oder Falsch gehasht wird oder sowas in die richtung, allerdings scheint das hier nicht der fall zu sein, nach dem ich das Logging auf debug gestellt hatte bekomme ich jetzt auch ausführlicherere Information

logauszug:
2018-01-02 16:09:53.915 DEBUG 25056 --- [qtp561480862-19] o.s.s.w.u.matcher.AntPathRequestMatcher : Request 'POST /oauth/token' doesn't match 'DELETE /logout
2018-01-02 16:09:53.921 DEBUG 25056 --- [qtp561480862-19] o.s.s.web.util.matcher.OrRequestMatcher : No matches found
2018-01-02 16:09:53.921 DEBUG 25056 --- [qtp561480862-19] o.s.security.web.FilterChainProxy : /oauth/token at position 5 of 11 in additional filter chain; firing Filter: 'BasicAuthenticationFilter'
2018-01-02 16:09:53.928 DEBUG 25056 --- [qtp561480862-19] o.s.s.w.a.www.BasicAuthenticationFilter : Basic Authentication Authorization header found for user 'builttapi'
2018-01-02 16:09:53.932 DEBUG 25056 --- [qtp561480862-19] o.s.s.authentication.ProviderManager : Authentication attempt using org.springframework.security.authentication.dao.DaoAuthenticationProvider
2018-01-02 16:09:53.956 DEBUG 25056 --- [qtp561480862-19] o.s.s.a.dao.DaoAuthenticationProvider : User 'testuser' not found
2018-01-02 16:09:53.970 DEBUG 25056 --- [qtp561480862-19] o.s.b.f.s.DefaultListableBeanFactory : Returning cached instance of singleton bean 'authenticationAuditListener'
2018-01-02 16:09:53.971 DEBUG 25056 --- [qtp561480862-19] o.s.b.f.s.DefaultListableBeanFactory : Returning cached instance of singleton bean 'delegatingApplicationListener'
2018-01-02 16:09:53.980 DEBUG 25056 --- [qtp561480862-19] o.s.b.f.s.DefaultListableBeanFactory : Returning cached instance of singleton bean 'auditListener'
2018-01-02 16:09:53.981 DEBUG 25056 --- [qtp561480862-19] o.s.b.f.s.DefaultListableBeanFactory : Returning cached instance of singleton bean 'delegatingApplicationListener'
2018-01-02 16:09:53.982 DEBUG 25056 --- [qtp561480862-19] o.s.b.a.audit.listener.AuditListener : AuditEvent [timestamp=Tue Jan 02 16:09:53 CET 2018, principal=testuser, type=AUTHENTICATION_FAILURE, data={details=org.springframework.security.web.authentication.WebAuthenticationDetails@957e: RemoteIpAddress: 127.0.0.1; SessionId: null, type=org.springframework.security.authentication.BadCredentialsException, message=Bad credentials}]
2018-01-02 16:09:53.984 DEBUG 25056 --- [qtp561480862-19] o.s.s.w.a.www.BasicAuthenticationFilter : Authentication request for failed: org.springframework.security.authentication.BadCredentialsException: Bad credentials

vor allem aber dieses Zeile lässt mich etwas stuzen:
2018-01-02 16:09:53.956 DEBUG 25056 --- [qtp561480862-19] o.s.s.a.dao.DaoAuthenticationProvider : User 'testuser' not found

der entsprechende JAVA Code dazu:
[OAuth2Config.java]

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception
    {
        logger.info("Config Client ... .. .");
        clients.inMemory().withClient("testuser").secret("secret").accessTokenValiditySeconds(expiration)
                .scopes("read", "write").authorizedGrantTypes("password", "refresh_token")
                .resourceIds("resource");
    }

als erstes muss ich erstmal zugeben, das ich diesen Teil des Codes nicht wirklich verstehe, scheinbar wird hier ein zusätzlicher Benutzer und Passwort Benutzt, warum weiss ich nicht, es stammt aus dem Beispiel und Funktioniert in diesem auch nur nicht bei mir und daraus ergeben Sich auch ein oder zwei Fragen:

hier erst ein mal noch die Komplette Klasse:

package com.webservice.config;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;

import com.webservice.ApiApplication;

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter
{

    private static final Logger logger = LoggerFactory.getLogger(OAuth2Config.class);
   
    @Autowired
    @Qualifier("userDetailsService")
    private UserDetailsService userDetailsService;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Value("${webservice.oauth.tokenTimeout:3600}")
    private int expiration;

    // password encryptor
    @Bean
    public PasswordEncoder passwordEncoder()
    {
        logger.info("Create Password Encoder ... .. .");
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer configurer) throws Exception
    {
        logger.info("Set OAuth Config ... .. .");
        configurer.authenticationManager(authenticationManager);
        configurer.userDetailsService(userDetailsService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception
    {
        logger.info("Config Client ... .. .");
        clients.inMemory().withClient("testuser").secret("secret").accessTokenValiditySeconds(expiration)
                .scopes("read", "write").authorizedGrantTypes("password", "refresh_token")
                .resourceIds("resource");
    }

}

Sooooo:

1. wofür brauche ich einen 2ten Benutzername und Passwort?
2. wo werden diese Gespeichert?
3. ist das so überhaupt sinvoll ?

solangsam weiss ich leider nicht mehr weiter, mir fehlt hier zugegeben auch ein wenig hintergrundwissen, aber ich finde auch nicht wirklich gute Literatur die diesesn Part beschreibt.

kann mir jemand Helfen?

 

[truesoul]

Hallo.

Den Teil:

clients.inMemory().withClient("testuser").secret("secret").accessTokenValiditySeconds(expiration)
                .scopes("read", "write").authorizedGrantTypes("password", "refresh_token")
                .resourceIds("resource");

solltest du nicht mehr benötigen. Ansonsten kann man nicht viel dazu sagen, da Informationen fehlen.
Wie sieht deine Web Security Configuration aus?
Verwendest du GenericFilterBean?

Den Link den du gepostet hast, ist zu dünn um tatsächlich eine sinnvolle Authentifizierung zu implementieren.

Vielleicht schaust du dir das mal an.

Ich würde vermuten, dass die Web Security Configuration nicht korrekt ist.

Grüße

 

[Husker]

Ich würde vermuten, dass die Web Security Configuration nicht korrekt ist.

damit wirst du vermutlich recht haben, den ich habe an config nur das was auch auch gepostet habe, wenn ich das zwischen den Zeilen lese, vermute ich mal das das zeug einfach fehlt :-(

 

[truesoul]

Schaue dir einfach mal den link an den ich gepostet hatte. Achja, Swagger ist nicht das selbe wie Spring Boot. Und meine Erfahrungen mit Swagger waren eigentlich recht gut. Swagger dient ja dazu deine Schnittstellen auch zu beschreiben und zu dokumentieren.

Also eigentlich ziemlich cool.

Grüße

 

[Husker]

Ja das mit Swagger habe ich auch durch, als ich drauf gestoßen bin dachte ich mir, wie geil !
dan habe ich angefangen und musste feststellen das Swagger keine Implementierung für API Key OAuth usw. in java hat, es wurde einfach nicht implementiert, gibt dazu auch aktuell ein Issue bei GIT also kommen die Securty definitionen im Code nicht an, soviel erstmal zu swagger, das war auch der Grund warum ich Swagger erstmal zur seite geschoben habe und mir dachte gut, braust du deine REST API mit Spring Boot, und das ausprobieren des Beispiels war erst mal super vielversprechend aber ich bekomme es einfach nicht ans laufen.

bin aktuell dabei mir den Link anzusehen aber so wirklich schlau werde ich daraus nicht
eigentlich sollte es doch keine Riesen sache sein eine REST API mir OAuth zu bauen, aber scheinbar bin ich dafür irgendwie zu doof (Bin da Aktuell etwas Deprimiert)

werde erst mal weiter versuchen den Link von dir durch zu arbeiten aber leider ist die Doku irgendwie ziemlich dünn

 

[Husker]

So in zwischen habe ich das ans laufen bekommen, ich weiss nur noch nicht genau warum,
habe das Projekt letzt entlich weggeworfen und stück für stück neu aufgebaut, läuft jetzt aber und mit Spring-Fox läuft jetzt auch swagger