Spring Security 5 ApplicationRunnerでOAuth2Secured APIを呼び出すと、IllegalArgumentExceptionが発生します

Darren Forsythe 2019-03-23 13:10.

次のコードが与えられた場合、アプリケーションランナーでクライアント資格情報で保護されたAPIを呼び出すことは可能ですか？

@Bean
public ApplicationRunner test(
    WebClient.Builder builder,
    ClientRegistrationRepository clientRegistrationRepo, 
    OAuth2AuthorizedClientRepository authorizedClient) {
        return args -> {
            try {
                var oauth2 =
                    new ServletOAuth2AuthorizedClientExchangeFilterFunction(
                        clientRegistrationRepo,
                        authorizedClient);
                oauth2.setDefaultClientRegistrationId("test");
                var response = builder
                    .apply(oauth2.oauth2Configuration())
                    .build()
                    .get()
                    .uri("test")
                    .retrieve()
                    .bodyToMono(String.class)
                    .block();
                log.info("Response - {}", response);
            } catch (Exception e) {
                log.error("Failed to call test.", e);
            }
        };
    }

次の理由でコードが失敗します。

java.lang.IllegalArgumentException: request cannot be null

フルスタック、

java.lang.IllegalArgumentException: request cannot be null
    at org.springframework.util.Assert.notNull(Assert.java:198) ~[spring-core-5.1.5.RELEASE.jar:5.1.5.RELEASE]
    at org.springframework.security.oauth2.client.web.HttpSessionOAuth2AuthorizedClientRepository.loadAuthorizedClient(HttpSessionOAuth2AuthorizedClientRepository.java:47) ~[spring-security-oauth2-client-5.1.4.RELEASE.jar:5.1.4.RELEASE]
    at org.springframework.security.oauth2.client.web.reactive.function.client.ServletOAuth2AuthorizedClientExchangeFilterFunction.populateDefaultOAuth2AuthorizedClient(ServletOAuth2AuthorizedClientExchangeFilterFunction.java:364) ~[spring-security-oauth2-client-5.1.4.RELEASE.jar:5.1.4.RELEASE]
    at org.springframework.security.oauth2.client.web.reactive.function.client.ServletOAuth2AuthorizedClientExchangeFilterFunction.lambda$null$2(ServletOAuth2AuthorizedClientExchangeFilterFunction.java:209) ~[spring-security-oauth2-client-5.1.4.RELEASE.jar:5.1.4.RELEASE]
    at org.springframework.web.reactive.function.client.DefaultWebClient$DefaultRequestBodyUriSpec.attributes(DefaultWebClient.java:234) ~[spring-webflux-5.1.5.RELEASE.jar:5.1.5.RELEASE] at org.springframework.web.reactive.function.client.DefaultWebClient$DefaultRequestBodyUriSpec.attributes(DefaultWebClient.java:153) ~[spring-webflux-5.1.5.RELEASE.jar:5.1.5.RELEASE]

失敗したメソッドは次のようになります。

public <T extends OAuth2AuthorizedClient> T loadAuthorizedClient(
    String clientRegistrationId,  Authentication principal, HttpServletRequest request){

    Assert.hasText(clientRegistrationId, "clientRegistrationId cannot be empty");
    Assert.notNull(request, "request cannot be null");
    return (OAuth2AuthorizedClient)this
        .getAuthorizedClients(request)
        .get(clientRegistrationId);
}

HttpServletRequestアプリケーションの起動時に呼び出されるため、使用する必要がないため、これは理にかなっています。

自分でno-opを作成する以外の回避策はありますOAuth2AuthorizedClientRepositoryか？

//編集、

これは完全にリアクティブなスタックではありません。これは、WebClientが使用されているSpringWebスタックです。

私は、ServerOAuth2AuthorizedClientExchangeFilterFunctionこれが完全にリアクティブなスタックに適用され、必要でありReactiveClientRegistrationRepository、ReactiveOauth2AuthorizedClientこれがサーブレットスタック上に構築されたアプリケーションにあり、リアクティブではないために利用できないことをよく知っています。

java spring-boot spring-security spring-webflux

2 answers

jBuchholz 2020-01-13 08:32.

私もこの問題に遭遇したので、他の人が見つけやすくするために、DarrenForsytheの更新された回答について少し詳しく説明します。

OPによって提出された問題は、次のOAuth2AuthorizedClientManagerことが可能な実装をもたらしました。

HttpServletRequestコンテキストの外部、たとえばスケジュールされた/バックグラウンドスレッドおよび/またはサービス層での操作

（公式ドキュメントから）

上記の実装であるAuthorizedClientServiceOAuth2AuthorizedClientManager、はServletOAuth2AuthorizedClientExchangeFilterFunction、デフォルトの実装を置き換えるためにに渡されます。

私の例では、これは次のようになります。

@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
        ClientRegistrationRepository clientRegistrationRepository,
        OAuth2AuthorizedClientService clientService)
{

    OAuth2AuthorizedClientProvider authorizedClientProvider = 
        OAuth2AuthorizedClientProviderBuilder.builder()
            .clientCredentials()
            .build();

    AuthorizedClientServiceOAuth2AuthorizedClientManager authorizedClientManager = 
        new AuthorizedClientServiceOAuth2AuthorizedClientManager(
            clientRegistrationRepository, clientService);
    authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);

    return authorizedClientManager;
}

@Bean
WebClient webClient(OAuth2AuthorizedClientManager authorizedClientManager)
{
    ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2 =
        new ServletOAuth2AuthorizedClientExchangeFilterFunction(
            authorizedClientManager);
    oauth2.setDefaultClientRegistrationId("keycloak");
    return WebClient.builder().apply(oauth2.oauth2Configuration()).build();
}

Darren Forsythe 2019-04-02 02:13.

~~私はこれをSpringSecurityチームに尋ねることになりました。~~

https://github.com/spring-projects/spring-security/issues/6683

残念ながら、サーブレットスタックを使用していて、バックグラウンドスレッドで純粋なSpring Security 5 APIを使用してOAuth2リソースを呼び出す場合、OAuth2AuthorizedClientRepository利用できるものはありません。

現実的には2つのオプションがあります。

完全にノーオペレーションバージョンを実装し、

var oauth2 = new ServletOAuth2AuthorizedClientExchangeFilterFunction(clientRegistrationRepo, new OAuth2AuthorizedClientRepository() { @Override public <T extends OAuth2AuthorizedClient> T loadAuthorizedClient(String s, Authentication authentication, HttpServletRequest httpServletRequest) { return null; } @Override public void saveAuthorizedClient(OAuth2AuthorizedClient oAuth2AuthorizedClient, Authentication authentication, HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) { } @Override public void removeAuthorizedClient(String s, Authentication authentication, HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) { } });

のサーブレットバージョンを実装しUnAuthenticatedServerOAuth2AuthorizedClientRepositoryます。UnAuthenticatedServerOAuth2AuthorizedClientRepositoryGitHubソース。純粋なno-opよりもいくつかの基本的な機能があります。

GitHubの問題に関するフィードバックを提供することで、SpringSecurityチームがPRの受け入れとサーブレットバージョンの維持を評価するのに役立つ可能性があります。 UnAuthenticatedServerOAuth2AuthorizedClientRepository

Spring SecurityTeamのSpringSecurity Issue 6683に連絡しました。その裏側で、サーブレットバージョンがServerOAuth2AuthorizedClientExchangeFilterFunctionSpring Security 5.2に追加され、http以外のスレッドで使用できるようになります。

Japanese Thai Russian Vietnamese

MORE COOL STUFF

メーガン・マークルは、自然な髪のスタイリングをめぐってマライア・キャリーと結ばれました

メーガン・マークルとマライア・キャリーが自然な髪の上でどのように結合したかについて、メーガンの「アーキタイプ」ポッドキャストのエピソードで学びましょう.

2022-12-23.

ハリー王子は家族との関係を修復できるという「希望を持っている」：「彼は父親と兄弟を愛している」

ハリー王子が家族、特にチャールズ王とウィリアム王子との関係について望んでいると主張したある情報源を発見してください。

2022-12-17.

ワイノナ・ジャッドは、パニックに陥った休暇の瞬間に、彼女がジャッド家の家長であることを認識しました

ワイノナ・ジャッドが、母親のナオミ・ジャッドが亡くなってから初めての感謝祭のお祝いを主催しているときに、彼女が今では家長であることをどのように認識したかを学びましょう.

2022-12-09.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナ島のジェイコブズラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

2022-09-08.

作家のアンバー・ラフィンとジェニー・ヘーゲルが上司のセス・マイヤーズを引き継ぐのを見る

深夜のアンバー・ラフィンとジェニー・ヘーゲルが繰り返し「ジョーク・セス・カント・テル」で戻ってきました。これらのジョークの多くは観客をがっかりさせますが、最初から最後まで素晴らしいです。ルフィンとヘーゲルは黒人女性として自己紹介します。とゲイの女性、それぞれ、したがって、セスマイヤーズが10フィートのポールで触れることができない主題について賢明にクラックすることができます。

2023-02-03 19:43.

ジョンウィック：第3章は2019年5月に劇場への道を容赦なく殺します

（写真：ライオンズゲート）この「キアヌ・リーブスはダッパースーツを着て人々を殺害する」というモチーフ全体が手元にあることをはっきりと知っているライオンズゲートは、スタイリッシュで復讐に燃えるジョン・ウィックのフランチャイズで3回目のリリース日を設定しました。犬をベースにした復讐のためのババ・ヤガの果てしない十字軍を支えるバットシット神話をより深く掘り下げることを約束する3番目のジョン・ウィック映画は、2019年5月17日に設定されました。これまでのところ、それはその日に上陸した唯一の映画です。

2023-02-03 19:38.

このパイロットは、This IsUsの残りの部分に高い基準を設定します

写真：NBCパイロットは良すぎるのでしょうか？ありそうもないようですが、This IsUsのファンの場合はそうかもしれません。クレイジー、バカ、ラブライターのダン・フォーゲルマンからの待望の新シリーズは、ツイストエンディングを中心に展開しています。シリーズを適切に設定しますが、非常に巧妙に行われているため、改善の余地はあまりありません。

2023-02-03 19:27.