Entrar Ainda não tem acesso?
2
respostas

Erro ao fazer autenticação

Referente ao curso Spring Boot API Rest: Segurança da API, Cache e Monitoramento, no capítulo Documentação da API com Swagger e atividade Documentação da API com SpringFox Swagger

por Maycon T. de Almeida
| 439.7k xp | 39 posts
Analista Trainee

Olá professor, não consigo mais acessar o /auth... recebo o status 403... Não sei se tem alguma relação, mas implementei autenticação no Spring Boot Admin Service. Lá eu consigo me autenticar normalmente. Veja o código da classe security configurations:

package br.com.alura.forum.config.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import br.com.alura.forum.repository.UsuarioRepository;

@EnableWebSecurity
@Configuration
@Order(value = Ordered.LOWEST_PRECEDENCE)
public class SecurityConfigurations extends WebSecurityConfigurerAdapter {

    @Autowired
    private AutenticacaoService autenticacaoService;
    @Autowired
    private TokenService tokenService;
    @Autowired
    private UsuarioRepository usuarioRepository;

    @Override
    @Bean
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    //Configurações de autenticação
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(autenticacaoService)
            .passwordEncoder(new BCryptPasswordEncoder());
    }

    //Configurações de autorização
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers(HttpMethod.GET, "/topicos").permitAll()
            .antMatchers(HttpMethod.GET, "/topicos/*").permitAll()
            .antMatchers(HttpMethod.POST, "/auth").permitAll()
            .anyRequest().authenticated()
            .and().csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and().addFilterBefore(new AutenticacaoViaTokenFilter(tokenService, usuarioRepository), UsernamePasswordAuthenticationFilter.class);
    }

    //Configurações de recursos estáticos(js, css, imagens, etc.)
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
            .antMatchers("/**.html", "/v2/api-docs", "/webjars/**", "/configuration/**", "/swagger-resources/**");
    }

}

Código da Acutator Security Configurations:

package br.com.alura.forum.config.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@Order(value = Ordered.HIGHEST_PRECEDENCE)
public class ActuatorSecurityConfigurations extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
        .withUser("root").password(passwordEncoder().encode("P@$$w0rd"))
        .authorities("ROLE_ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
        .antMatchers("/actuator/**").hasRole("ADMIN")
        .and().httpBasic();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    } 

}

Não sei se tem a ver com o Token... confesso que não achei a causa desse problema uma vez que não aparece nada no log... o que recebo é o status 403 mesmo. Agradeceria muito se pudesse me ajudar

2 respostas
por Rodrigo da Silva Ferreira Caneppele
| 4859.4k xp | 8455 posts
Instrutor Instrutor

Oi Maycon,

Eu ia falar para você fazer um teste invertendo a ordem(@Order) das classes de configs de segurança, pois pode ser que uma classe esteja sobrescrevendo as configurações da outra e causando assim o 403.

por Maycon T. de Almeida
| 439.7k xp | 39 posts
Analista Trainee

Sim Rodrigo, é o que aconteceu... só que mesmo autorizando os requests da classe de config de segurança do Actuator (a que está sendo chamada primeiro) ele não libera o acesso... desabilitei o csrf e mudou um status ou outro também. Na verdade esse projeto eu havia terminado, e pelo que me lembro fiz o /auth funcionar, apenas a questão do ROLE_MODERADOR que por algum motivo não deu também, aí fiz o deploy assim mesmo :)