春云 Zuul 和 JWT 刷新令牌

我有一个使用弹簧云组件(eureka，zuul和身份验证服务器(的本地编排环境。 这些组件都作为单独的独立服务实现。 然后，我拥有越来越多的组合 UI/资源服务，其中各个服务都有自己的 UI。 UI使用thymeleaf模板放在服务器端，但本质上是在浏览器中运行的angularjs单页应用程序。

单个 Zuul 服务面向所有 ui/资源服务。 我已经注释了所有 ui/资源服务@EnableResourceServer，并将@EnableOAuth2Sso添加到 Zuul 服务器。

在 Zuul 的 application.properties 中，我有以下属性：

security.oauth2.client.accessTokenUri=http://localhost:8771/uaa/oauth/token
security.oauth2.client.userAuthorizationUri=http://localhost:8771/uaa/oauth/authorize
security.oauth2.client.clientId=waharoa
security.oauth2.client.clientSecret=waharoa
security.oauth2.client.preEstablishedRedirectUri=http://localhost:81/login
security.oauth2.client.registeredRedirectUri=http://localhost:81/login
security.oauth2.client.useCurrentUri=false
security.oauth2.resource.jwt.keyValue=-----BEGIN PUBLIC KEY-----[ETC omitted]...

这一切似乎都像宣传的那样工作。我的问题是令牌何时过期。

在身份验证服务器中，我将令牌设置为在 60 秒后过期，将刷新令牌设置为在 12 小时后过期。 当令牌过期时，zuul 服务器无法获取新令牌。

在 zuul 服务器上，这出现在日志中：

BadCredentialsException ： 无法获取 OAuth2TokenRelayFilter.getAccessToken 抛出的有效访问令牌

更新：我在 Zuul 服务中为 org.springframework.security.oauth 打开了调试，并得到了以下内容

17:12:33.279 DEBUG o.s.s.o.c.t.g.c.AuthorizationCodeAccessTokenProvider - Retrieving token from http://localhost:8771/uaa/oauth/token
17:12:33.289 DEBUG o.s.s.o.c.t.g.c.AuthorizationCodeAccessTokenProvider - Encoding and sending form: {grant_type=[refresh_token], refresh_token=[eyJhbGciOiJS[...deleted...]VgGRHGT8OJ2yDfNVvNA]}
17:12:37.279 WARN  o.s.c.n.z.f.post.SendErrorFilter - Error during filtering
[blah blah stacktrace many lines omitted]
Caused by: org.springframework.security.authentication.BadCredentialsException: Cannot obtain valid access token
at org.springframework.cloud.security.oauth2.proxy.OAuth2TokenRelayFilter.getAccessToken(OAuth2TokenRelayFilter.java:99)
at org.springframework.cloud.security.oauth2.proxy.OAuth2TokenRelayFilter.run(OAuth2TokenRelayFilter.java:79)
at com.netflix.zuul.ZuulFilter.runFilter(ZuulFilter.java:112)
at com.netflix.zuul.FilterProcessor.processZuulFilter(FilterProcessor.java:193)
... 106 common frames omitted

在身份验证 (uaa( 服务端，我可以看到 zuul 客户端 (waharoa( 进行身份验证，获取正确用户的详细信息，然后打印：

17:12:37.288 DEBUG o.s.s.w.c.SecurityContextPersistenceFilter - SecurityContextHolder now cleared, as request processing completed

我认为这意味着身份验证服务器已经完成了它需要做的事情并回复了请求？看起来 Zuul 服务上设置不正确，有什么建议吗？

有人可以建议我需要在此处发布哪些其他信息才能弄清楚令牌刷新不起作用的原因。 我是一个春云菜鸟，这个约定的黑魔法对我来说不是很清楚(我已经搜索并搜索了我认为会是一个常见用例的示例，但一无所获(。

注意2：我在祖尔方面已经有以下豆子

了

@Bean
public OAuth2RestTemplate oauth2RestTemplate(OAuth2ProtectedResourceDetails resource, OAuth2ClientContext context) {
return new OAuth2RestTemplate(resource, context);
}

按照@AlexK建议，我还在身份验证端添加了以下UserDetailsService Bean

@Bean
@Override
public UserDetailsService userDetailsServiceBean() throws Exception {
return super.userDetailsServiceBean();
}

并将其添加到我的身份验证服务器配置中

@Autowired
private UserDetailsService userDetailsService;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.tokenStore(tokenStore()).tokenEnhancer(jwtTokenEnhancer())
.authenticationManager(authenticationManager).userDetailsService(userDetailsService)
.reuseRefreshTokens(false);
}

但同样的结果。refresh_token发生了，但当响应到达 Zuul 过滤器时，它似乎仍然会死亡。

注3：

@AlexK实际上是正确的。 我发现了解到，当令牌刷新时，它不仅仅是从令牌存储中刷新的，它需要调用底层UserDetailsService才能再次获取用户详细信息。 当我从Active Directory获取详细信息时，这需要大量的试验和错误来解决，但现在正在按广告工作。我的(缺少(简单的UserDetailsService Bean自动连接到配置中，如注释2所示：

@Bean(name = "ldapUserDetailsService")
public UserDetailsService userDetailsService() {
FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch(searchBase, "(sAMAccountName={0})",
contextSource());
LdapUserDetailsService result = new LdapUserDetailsService(userSearch);
result.setUserDetailsMapper(new InetOrgPersonContextMapper());
return result;
}

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints)
throws Exception {
endpoints
.authenticationManager(authenticationManager)
.userDetailsService(userDetailsService)
.reuseRefreshTokens(false); // <--that's the key to get new refresh_token at the same time as new access_token
}