Spring security-custom token filter

Ich versuche, führen Sie einen benutzerdefinierten filter zu bekommen ein token und zu validieren. Ich bin nach dem Ansatz in diesem Antwort.

Dies ist die relevante Konfiguration:

SecurityConfig:

@Configuration
@EnableWebSecurity
@ComponentScan(basePackages = {"com.company.app"})
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Inject
AuthenticationTokenFilter authenticationTokenFilter;

@Inject
TokenAuthenticationProvider tokenAuthenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
                .antMatcher("/*")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                    .anyRequest().authenticated();
    }

}

AuthenticationTokenFilter:

@Component
public class AuthenticationTokenFilter implements Filter {

private static final Logger logger = LoggerFactory.getLogger(AuthenticationTokenFilter.class);

@Override
public void init(FilterConfig fc) throws ServletException {
    logger.info("Init AuthenticationTokenFilter");
}

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain fc) throws IOException, ServletException {
    SecurityContext context = SecurityContextHolder.getContext();
    if (context.getAuthentication() != null && context.getAuthentication().isAuthenticated()) {
        //do nothing
    } else {
        Map<String,String[]> params = req.getParameterMap();
        if (!params.isEmpty() && params.containsKey("auth_token")) {
            String token = params.get("auth_token")[0];
            if (token != null) {
                Authentication auth = new TokenAuthentication(token);
                SecurityContextHolder.getContext().setAuthentication(auth);
            }
        }
    }

    fc.doFilter(req, res);
}

@Override
public void destroy() {

}
}

TokenAuthentication:

public class TokenAuthentication implements Authentication {
private String token;

public TokenAuthentication(String token) {
    this.token = token;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    return new ArrayList<GrantedAuthority>(0);
}
@Override
public Object getCredentials() {
    return token;
}
@Override
public Object getDetails() {
    return null;
}
@Override
public Object getPrincipal() {
    return null;
}
@Override
public boolean isAuthenticated() {
    return false;
}
@Override
public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
}
@Override
public String getName() {
    return null;
}
}

TokenAuthenticationProvider:

@Component
public class TokenAuthenticationProvider implements AuthenticationProvider {

private static final Logger logger = LoggerFactory.getLogger(TokenAuthenticationProvider.class);

@Override
public Authentication authenticate(Authentication auth) throws AuthenticationException {
    if (auth.isAuthenticated())
        return auth;

    String token = auth.getCredentials().toString();
    User user = userSvc.validateApiAuthenticationToken(token);
    if (user != null) {
        auth = new PreAuthenticatedAuthenticationToken(user, token);
        auth.setAuthenticated(true);
        logger.debug("Token authentication. Token: ");
    } else
        throw new BadCredentialsException("Invalid token " + token);
    return auth;
}

@Override
public boolean supports(Class<?> aClass) {
    return true;
}

}

Aber es ist wie die AuthenticationTokenFilter nicht zu der Kette Hinzugefügt. Debuggen kann ich sehen, dass wenn ich einen Anruf gelangt es zu den SecurityConfig und konfigurieren der Methode, aber nicht in den filter.
Was fehlt?

hast du irgendwelche andere security-config-Klassen ?
Halca Nein, fehlt etwas ?
es sieht aus wie es funktionieren sollte, hatte ich einige seltsame Verhaltensweisen wie deine, es wurde mit @Order - annotation-security-config-Klassen
beim ersten Anruf gelangt es zu der configure Methode(aber nur einmal, die nächste aufruft, gelangt direkt auf die Steuerung). Der filter wird ignoriert, ich weiß nicht, ob die HttpSecurity-Konfiguration korrekt ist
Wann wird TokenAuthenticationProviderr genannt werden? Sollte AuthenticationTokenFilter und TokenAuthenticationProviderr aufgerufen werden bei jeder Anfrage??

InformationsquelleAutor Federico | 2014-03-12

  1. 3

    versuchen zu deaktivieren anonymous Authentifizierung und ändern zu fully - Authentifizierung, um Ihre Sicherheit Regel.

    etwas wie dieses :

    http
    .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
                    .antMatcher("/token")
                    .authenticationProvider(tokenAuthenticationProvider)
                    .authorizeUrls().anyRequest().fullyAuthenticated()
    .and()
                    .anonymous().disable()
    cannot resolve Methode anonym
    Sie sollte mindestens "spring-security-javaconfig-1.0.0.M1.jar", was ist kompilieren fein
    Ich habe spring-security-web-und spring-security-config, warum ist das lib notwendig?
    das lib für java-config für spring security
    Nein, es ist das gleiche

    InformationsquelleAutor Eugen Halca

  2. 2

    Was Ihnen fehlt, ist 

    <filter>
       <filter-name>springSecurityFilterChain</filter-name>
       <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
       <filter-name>springSecurityFilterChain</filter-name>
       <url-pattern>/*</url-pattern>
</filter-mapping>

    in Ihrem web.xml oder gleichwertig für intializers auf Ihren Klassenpfad ein:

    import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

@Order(value = 1)
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
}

    Dies ist unabhängig von Ihrer WebApplicationInitializer. Beachten Sie, dass:

    • Ihre SecurityConfig (oder etwas kommentiert mit @EnableWebSecurity) definiert werden muss, in den root-Kontext (nicht die dispatcher-Kontext)
    • sollten Sie wahrscheinlich verstehen, Reihenfolge der Initialisierung (ich bin nicht sicher, ob ich es tun):

    "Bestellung WebApplicationInitializer"

    Wenn jeder servlet-Filter-mappings Hinzugefügt werden, nachdem AbstractSecurityWebApplicationInitializer aufgerufen werden, könnten Sie versehentlich Hinzugefügt vor springSecurityFilterChain. Es sei denn, eine Anwendung enthält eine Filter-Instanzen, die müssen nicht gesichert werden, springSecurityFilterChain werden sollte, bevor andere Filter-mappings. Die @Um die annotation verwendet werden können, um sicherzustellen, dass alle WebApplicationInitializer geladen wird in eine deterministische Reihenfolge.

    Beispiel:

    @Order(value = 10)
public class AppWebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

  @Override
  protected Class<?>[] getRootConfigClasses() {
      return new Class<?>[] { AppConfig.class, SecurityConfig.class };
  }

  @Override
  protected Class<?>[] getServletConfigClasses() {
      return new Class<?>[] { RestConfig.class };
  }

  @Override
  protected String[] getServletMappings() {
      return new String[] { "/rest/*"};
  }
}

    Zusammenfassen, aus der Feder Dokumentation:

    Bei der Verwendung von servlet-filtern, müssen Sie selbstverständlich erklären Ihnen in Ihrem web.xml oder Sie werden ignoriert von der servlet-container. Im Frühjahr Sicherheit, die filter-Klassen sind auch Spring beans in der Anwendung definiert Kontext und damit in der Lage, um die Vorteile von Spring rich dependency-injection Anlagen-und lifecycle-Schnittstellen. Spring DelegatingFilterProxy stellt die Verbindung zwischen web.xml und der Anwendungskontext.

    Der Security-Filter-Kette

    InformationsquelleAutor kedzi

  3. 0

    Alte post, aber ich denke, authenticationProvider() kommen muss, BEVOR "addBeforeFilter". Nicht sicher, ob es heute einen Unterschied machen, aber es könnte wichtig sein. Es mag nicht wie viel.

    Auch versuchen, fügen Sie diese auf Ihrem Konfigurations-Klasse um das Problem zu lösen:

    @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    InformationsquelleAutor Dexter

Schreibe einen Kommentar