Spring security Authentifizierung basiert auf request-parameter

Die Anwendung an der ich arbeite, hat bereits Spring Security zu handhaben Formular-basierte Authentifizierung. Jetzt ist die Anforderung zur Anmeldung eines Benutzers programmgesteuert über einen externen service wenn ein token ist gefunden in einem der request-Parameter.

In anderen Worten, wenn eine bestimmte request-parameter sagen, "token", existiert, die es braucht, um einen externen Dienstleister mit diesen token, um zu überprüfen, wenn Sie eine gültige token. Wenn es ist, dann wird der Benutzer eingeloggt.

Ich kann nicht herausfinden, wie und wo "trigger" oder "Haken bei" Spring Security, überprüfen Sie diese parameter und stellen Sie die überprüfung dann den Benutzer zu authentifizieren, wenn angemessen, da es keine login-Formular. Ich dachte, es sollte etwas sein, Spring Security, die erweitert werden können oder angepasst, um dies zu tun?

Sah ich durch Spring Security Dokumentation und Frage mich, ob AbstractPreAuthenticatedProcessingfilter ist die richtige Sache, um zu starten?

InformationsquelleAutor der Frage Bing Qiao | 2013-11-05

  1. 21

    Ich habe ein ähnliches setup in meiner Anwendung. Hier sind die grundlegenden Elemente so weit wie ich kann sagen:

    Müssen Sie erstellen ein AuthenticationProvider etwa so:

    public class TokenAuthenticationProvider implements AuthenticationProvider {

    @Autowired private SomeService userSvc;

    @Override
    public Authentication authenticate(Authentication auth) throws AuthenticationException {
        if (auth.isAuthenticated())
            return auth;

        String token = auth.getCredentials().toString();
        User user = userSvc.validateApiAuthenticationToken(token);
        if (user != null) {
            auth = new PreAuthenticatedAuthenticationToken(user, token);
            auth.setAuthenticated(true);
            logger.debug("Token authentication. Token: " + token + "; user: " + user.getDisplayName());
        } else
            throw new BadCredentialsException("Invalid token " + token);
        return auth;
    }
}

    Müssen Sie auch erstellen Sie eine Filter zum einschalten der benutzerdefinierte parameter in ein Authentifizierungs-token:

    public class AuthenticationTokenFilter implements Filter {


    @Override
    public void init(FilterConfig fc) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain fc) throws IOException, ServletException {
        SecurityContext context = SecurityContextHolder.getContext();
        if (context.getAuthentication() != null && context.getAuthentication().isAuthenticated()) {
            //do nothing
        } else {
            Map<String,String[]> params = req.getParameterMap();
            if (!params.isEmpty() && params.containsKey("auth_token")) {
                String token = params.get("auth_token")[0];
                if (token != null) {
                    Authentication auth = new TokenAuthentication(token);
                    SecurityContextHolder.getContext().setAuthentication(auth);
                }
            }
        }

        fc.doFilter(req, res);
    }

    @Override
    public void destroy() {

    }

    class TokenAuthentication implements Authentication {
        private String token;
        private TokenAuthentication(String token) {
            this.token = token;
        }
        @Override
        public Collection<? extends GrantedAuthority> getAuthorities() {
            return new ArrayList<GrantedAuthority>(0);
        }
        @Override
        public Object getCredentials() {
            return token;
        }
        @Override
        public Object getDetails() {
            return null;
        }
        @Override
        public Object getPrincipal() {
            return null;
        }
        @Override
        public boolean isAuthenticated() {
            return false;
        }
        @Override
        public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        }
        @Override
        public String getName() {
            //your custom logic here
        }
    }

 }

    Müssen Sie erstellen Bohnen für diese:

    <beans:bean id="authTokenFilter" class="com.example.security.AuthenticationTokenFilter" scope="singleton" />
<beans:bean id="tokenAuthProvider" class="com.example.security.TokenAuthenticationProvider" />

    Schließlich müssen Sie auf Draht diese Bohnen in Ihre Sicherheits-config (entsprechend anpassen):

    <sec:http >
   <!-- other configs here -->
   <sec:custom-filter ref="authTokenFilter" after="BASIC_AUTH_FILTER" /> <!-- or other appropriate filter -->
</sec:http>

<sec:authentication-manager>
    <!-- other configs here -->
    <sec:authentication-provider ref="tokenAuthProvider" />
</sec:authentication-manager>

    Es könnte einen anderen Weg, aber dieser funktioniert definitiv (mit Spring Security 3.1 im moment).

    InformationsquelleAutor der Antwort Dan

  2. 3

    Wenn Sie Spring MVC-controller oder service, wo targe request-parameter übergeben wird, dann können Sie @PreAuthorize Spring security annotation.

    Sagen, Sie haben einige Frühjahr-service, der check bestanden-und token-Authentifizierung durchgeführt, wenn die übergebene token gültig ist: 

    @Service("authenticator")
class Authenticator {        
...
public boolean checkTokenAndAuthenticate(Object token) {
    ...
    //check token and if it is invalid return "false"
    ...
    //if token is valid then perform programmatically authentication and return "true"  
}
...             
}

    Dann, mit Spring security @annotation PreAuthorize können Sie dies tun, ist es weiter Weg:

    ...
@PreAuthorize("@authenticator.checkTokenAndAuthenticate(#token)")
public Object methodToBeChecked(Object token) { ... }
...

    Außerdem sollten Sie ermöglichen, Spring security Anmerkungen und hinzufügen von spring-security-Aspekte zu POM (oder jar zum classpath).

    InformationsquelleAutor der Antwort nndru

  3. 1

    Es ist ein blog mit detaillierten Lösung für die Implementierung von Benutzerdefinierten Token-basierte Sessionless Authentifizierung mit Spring Security, Hoffe, das hilft.

    http://javattitude.com/2014/06/07/spring-security-custom-token-based-rest-authentication/

    InformationsquelleAutor der Antwort Sanjay Singh

Schreibe einen Kommentar