Spring Authorization Server 授权码流程中的登录重定向问题解析

问题背景

在使用Spring Authorization Server 1.4.0版本实现OAuth 2.0授权码流程时，开发者可能会遇到一个典型问题：用户在登录页面成功认证后，系统没有按预期重定向到授权确认页面，而是错误地跳转到了/error页面。

现象描述

当客户端应用发起授权请求时，系统会正确跳转到登录页面。然而，用户在提交正确的凭据后，系统没有继续授权流程，而是将用户重定向到一个错误页面，URL中保留了原始的授权请求参数。

根本原因分析

这个问题通常源于安全配置的不完整性。在Spring Authorization Server的配置中，授权服务器安全过滤器链(authorizationServerSecurityFilterChain)缺少了对请求认证的基本配置。具体来说，配置中遗漏了对所有请求进行认证检查的设置。

解决方案

正确的配置应该在授权服务器安全过滤器链中明确添加对所有请求的认证要求。以下是修复后的关键配置代码片段：

@Bean
@Order(1)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http)
        throws Exception {
    OAuth2AuthorizationServerConfigurer authorizationServerConfigurer =
            OAuth2AuthorizationServerConfigurer.authorizationServer();

    http
            .securityMatcher(authorizationServerConfigurer.getEndpointsMatcher())
            .with(authorizationServerConfigurer, (authorizationServer) ->
                    authorizationServer
                            .oidc(Customizer.withDefaults())
            )
            // 添加对请求的认证检查
            .authorizeHttpRequests((authorize) ->
                authorize.anyRequest().authenticated()
            )
            .exceptionHandling((exceptions) -> exceptions
                    .defaultAuthenticationEntryPointFor(
                            new LoginUrlAuthenticationEntryPoint("/login"),
                            new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
                    )
            );

    return http.build();
}

技术原理

1. 安全过滤器链顺序：Spring Security使用多个安全过滤器链来处理不同类型的请求，通过@Order注解确定执行顺序。

2. 授权端点匹配：authorizationServerConfigurer.getEndpointsMatcher()确保配置只应用于OAuth2授权端点。

3. 认证要求：.authorizeHttpRequests((authorize) -> authorize.anyRequest().authenticated())确保所有匹配的请求都需要认证。

4. 异常处理：配置了当未认证用户访问受保护端点时的登录页面重定向策略。

最佳实践建议

1. 始终确保授权服务器安全配置中包含对请求的认证检查。

2. 在升级Spring Authorization Server版本时，仔细检查配置变更，特别是安全相关的配置。

3. 启用详细的日志记录(如TRACE级别)有助于诊断认证和授权流程中的问题。

4. 对于生产环境，建议使用更安全的用户存储方式，而不是示例中的内存存储。

通过正确配置授权服务器安全过滤器链，可以确保OAuth 2.0授权码流程按预期工作，用户在成功登录后能够继续授权流程，而不是被重定向到错误页面。