我有两种不同类型的用户。
- SSO用户
- DB用户
SSO用户可能已经由不同的系统进行了身份验证,而DB用户应该由我们的系统进行身份验证。我可以配置Spring安全性来处理这种情况吗?在这种情况下,我可以对一些用户说提示登录页面,而对一些用户不提示。
比方说,对于SSO用户,我可以在请求标头中获得用户ID,而DB在访问应用程序时,请求标头中没有用户ID。我如何处理这种情况?
我可以通过扩展DaoAuthenticationProvider的身份验证方法来覆盖它吗?然后在某个参数上翻页决定对用户进行身份验证,或者有其他方法吗?我可以向身份验证类添加任何信息吗
这就是我尝试过的远
安全配置java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
DataSource dataSource;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder builder) throws Exception {
builder.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder())
.usersByUsernameQuery("select username,password, enabled from users where username=?")
.authoritiesByUsernameQuery("select username, role from user_roles where username=?");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().authenticated().and().httpBasic()
.and().addFilterBefore(new UserTypeFilter(), BasicAuthenticationFilter.class);
}
public PasswordEncoder passwordEncoder() {
PasswordEncoder encoder = new BCryptPasswordEncoder();
return encoder;
}
/*
* @Bean public MethodSecurityInterceptor methodSecurityService() { return
* new MethodSecurityInterceptor(); }
*/
@Bean(name="myAuthenticationManager")
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public ExceptionTranslationFilter exceptionTranslationFilter() {
ExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(
new Http403ForbiddenEntryPoint());
AccessDeniedHandlerImpl accessDeniedHandlerImpl = new AccessDeniedHandlerImpl();
accessDeniedHandlerImpl.setErrorPage("/exception");
exceptionTranslationFilter
.setAccessDeniedHandler(accessDeniedHandlerImpl);
exceptionTranslationFilter.afterPropertiesSet();
return exceptionTranslationFilter;
}
@Bean
public UserTypeFilter authenticationFilter() throws Exception {
UserTypeFilter authFilter = new UserTypeFilter();
authFilter.setAuthenticationManager(authenticationManager());
return authFilter;
}
}
我的自定义抽象身份验证处理过滤器
public class UserTypeFilter extends AbstractAuthenticationProcessingFilter {
private static final String INTERCEPTOR_PROCESS_URL = "/index";
@Autowired
public void setAuthenticationManager(AuthenticationManager authenticationManager) {
super.setAuthenticationManager(authenticationManager);
}
public UserTypeFilter() {
super(INTERCEPTOR_PROCESS_URL);
}
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException, IOException, ServletException {
System.out.println(" BASIC AUTHENTICATION FILTER");
String userId = request.getHeader("USERID");
if (userId == null) {
System.out.println(" THROWING EXCEPTION FILTER");
throw new PreAuthenticatedCredentialsNotFoundException("USERID param not found");
}
return null;
}
}
我的控制器
@Controller
public class MainController {
@RequestMapping(value = { "/index" }, method = RequestMethod.GET)
public ModelAndView index() {
ModelAndView model = new ModelAndView();
model.addObject("message", "This is test page!");
model.setViewName("dummy");
return model;
}
}
控件转到My Custom筛选器,然后当抛出异常但ExceptionTranslationFilter未被调用时
我是否正确配置了httpsecurity我是否正确配置了我的自定义筛选器我是否配置了ExceptionTranslation筛选器我遗漏了什么吗
这是一个非常标准的spring安全性用例。在遇到任何安全拦截器之前,您需要在安全上下文中提供一个Authentication对象。
通常,您会有某种过滤器,从请求中提取SSO参数,根据SSO服务对这些参数进行身份验证,然后创建一个身份验证对象并将其放入安全上下文中。过滤器的类型和配置将取决于您使用的SSO技术。
通常还会有一个过滤器(通常是ExceptionTranslationFilter),它会向登录页面发送未经验证的请求。
还会有过滤器从登录表单接收参数,并将其存储在安全上下文中。
把所有这些放在一起,我希望有一个可能的工作流程:
用户使用SSO参数登录
- 请求进来时预先填充了凭据
- 某些筛选器提取这些凭据,对其进行验证,创建一个Authentication对象,并将该对象放置在安全上下文中
- 安全拦截器在安全上下文中找到Authentication对象,验证是否允许用户访问特定函数,并传递请求
用户在没有SSO参数的情况下登录(需要登录页面)
- 请求传入时没有凭据
- 安全拦截器找不到任何Authentication对象并抛出异常
- ExceptionTranslationFilter将异常转换为重定向到登录页面
用户使用填写好的登录表单登录(例如数据库登录)
- 请求以登录表单作为实体主体
- 某些筛选器(例如UsernamePasswordAuthenticationFilter)从登录表单中提取凭据,并服从身份验证提供者(例如您的DAO身份验证提供者)来查询数据库并验证用户。如果经过验证,此筛选器将创建一个身份验证对象并将其放置在安全上下文中
- 安全拦截器在安全上下文中找到Authentication对象,验证是否允许用户访问特定函数,并传递请求