Я следил за этим Spring Boot OAuth2 руководство по настройке клиента OAuth2. К сожалению, как только «пользователь» аутентифицируется с помощью Idp (Okta), происходит перенаправление с «кодом», что приводит к циклу перенаправления: /login -> /authorize... -> /login... -> /login
Firefox обнаружил, что сервер перенаправляет запрос на этот адрес так, что никогда не будет завершен.
Кто-нибудь знает, в чем проблема или может быть проблема и как ее решить? Подробности следуют далее.
Конфигурация Okta:
URI перенаправления входа: http://localhost:8080/auth/login
URI перенаправления выхода из системы: http://localhost:8080/auth/logout
Вход инициирован: Только приложение
Инициировать URI входа в систему: http://localhost:8080/auth/login
Свойства конфигурации:
okta:
oauth2:
client:
client-id: clientId
client-secret: clientSecret
scope: openid profile email
client-authentication-scheme: form
access-token-uri: https://mydomain.oktapreview.com/oauth2/myapp/v1/token
user-authorization-uri: https://mydomain.oktapreview.com/oauth2/myapp/v1/authorize
resource:
user-info-uri: https://mydomain.oktapreview.com/oauth2/myapp/v1/userinfo
Фильтр:
private Filter filter() {
OAuth2ClientAuthenticationProcessingFilter filter = new OAuth2ClientAuthenticationProcessingFilter(
"/login");
OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(oktaClient(), oauth2ClientContext);
filter.setRestTemplate(restTemplate);
UserInfoTokenServices tokenServices = new UserInfoTokenServices(oktaResource().getUserInfoUri(),
oktaClient().getClientId());
tokenServices.setRestTemplate(restTemplate);
filter.setTokenServices(tokenServices);
return filter;
}
Конфигурация WebSecurityConfigurerAdapter:
@Configuration
@EnableOAuth2Client
public class WebSecConfig extends WebSecurityConfigurerAdapter {
....
@Override
public void configure(HttpSecurity http) throws Exception {
http.antMatcher("/**").authorizeRequests()
.antMatchers("/", "/login**", "/logout**", "/v2/api-docs", "/configuration/ui",
"/configuration/security", "/swagger-resources/**", "/swagger-ui.html", "/webjars/**")
.permitAll()
.anyRequest().authenticated().and().exceptionHandling()
.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login")).and().csrf()
.csrfTokenRepository(
CookieCsrfTokenRepository.withHttpOnlyFalse()).and().addFilterBefore(filter(),
BasicAuthenticationFilter.class);
}
....
}
Обновление. Решением было изменить LoginUrlAuthenticationEntryPoint("/login")
на LoginUrlAuthenticationEntryPoint("/")
и заново создать сервер авторизации.