Spring security - login en ajax (api rest) -> erreur 401
Bonjour à tous,
je suis en train d'implémenter un processus d'authentification pour une appli web (backend: java spring boot, front-end: angular) et je suis confronté à un problème depuis plus d'une semaine.
Jusqu'à présent j'ai réussi à faire un code qui gère l'authentification en me redirigeant vers une page de login auto-générée par spring, mais je voudrais éviter ce comportement car mon backend fournit une api (et la page de login est gérée par angular). J'ai donc configuré spring security ainsi :
J'ai aussi créé ce service côté client pour permettre une authentification avec un appel à l'api, grâce à une requête ajax :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired @Qualifier("authUserDetailsService") private UserDetailsService authUserDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() // permet l'accès au endpoint "/login" pour les utilisateurs non authentifiés et leur bloque les autres endpoints .antMatchers("/login").permitAll() .anyRequest().authenticated() // 401-UNAUTHORIZED quand on tente d'accéder à une url sans authentification (au lieu de rediriger vers une page de login) .and() .exceptionHandling() .authenticationEntryPoint(new HttpStatusEntryPoint(HttpStatus.UNAUTHORIZED)) // permet de s'authentifier avec la méthode Post (en passant le username et le password) et renvoie un 204-NO_CONTENT quand l'authentification réussi (pas de redirection) et 401-UNAUTHORIZED sinon .and() .formLogin() .successHandler((req, res, auth) -> res.setStatus(HttpStatus.NO_CONTENT.value())) .failureHandler(new SimpleUrlAuthenticationFailureHandler()) // endpoint pour le logout qui renvoie 204-NO_CONTENT (pas de redirection) .and() .logout() .deleteCookies("JSESSIONID") .logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler(HttpStatus.NO_CONTENT)) // protection CSRF .and() .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } // utilise mon service authUserDetailsService pour gérer l'authenfication (utilisateurs stockés en base de donnée) @Override protected void configure(AuthenticationManagerBuilder authManagerBuilder) throws Exception { authManagerBuilder.userDetailsService(authUserDetailsService).passwordEncoder(passwordEncoder()); } // pour le moment je n'utilise pas d'encodage de password pour simplifier les tests @Bean public PasswordEncoder passwordEncoder() { return NoOpPasswordEncoder.getInstance(); //TODO: replace by new BCryptPasswordEncoder() } }
Mon soucis est que cet appel d'api génère une erreur 401, ce qui signifie donc qu'il y a une une erreur d'authentification, mais je suis incapable de savoir quelle est cette erreur (aucune info dans les logs) :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20@Injectable({ providedIn: 'root' }) export class AuthenticationService { private loginUrl = environment.apiUrl + "login" constructor(private http: HttpClient) {} // envoie une requête Post avec le username et le password public authenticate(username, password): Promise<boolean> { return new Promise( resolve => this.http.post(this.loginUrl, {"username": username, "password": password}).subscribe( reponse => resolve(true), error => resolve(false) ) ) } }
Est-ce que quelqu'un aurait une idée de ce qui ne va pas ?
Merci beaucoup d'avance !
Répondre avec citation
Partager