《Spring Security3》第六章第二部分翻译(自定义AuthenticationProvider)

最新推荐文章于 2024-06-19 19:09:51 发布
最新推荐文章于 2024-06-19 19:09:51 发布
阅读量543 收藏
点赞数
分类专栏: Spring Security3

实现自定义的AuthenticationProvider

在很多场景下,你的应用需要跳出Spring Security功能的边界,可能会需要实现自己的AuthenticationProvider。回忆在第二章中AuthenticationProvider的角色,在整个认证过程中,它接受安全实体请求提供的凭证(即Authentication对象或authentication token)并校验其正确性和合法性。

通过AuthenticationProvider实现一个简单的单点登录

通常,应用允许以用户或客户端方式登录。但是,有一种场景也很常见,尤其是在广泛使用的应用中,即允许系统中的不同用户以多种方式登录。

假设我们的系统与一个简单的“单点登录”提供者进行集成,用户名和密码分别在HTTP头中的j_username 和j_password发送。除此以外,j_signature头信息包含了用户名和密码的随意编码算法形成的字符串,以辅助安全请求。

【不要使用这个例子作为真实单点登录的解决方案。这个例子很牵强,只是为了说明实现一个完全自定义AuthenticationProvider的步骤。真正的SSO解决方案显然会更安全并涉及到几次的握手以建立可信任的凭证。Spring Security支持几种SSO解决方案,包括中心认证服务(CAS)和SiteMinder,我们将会在第十章:使用中心认证服务实现单点登录中介绍。实际上,Spring Security提供了一个类似的过滤器用来进行SiteMinder请求头的认证,即o.s.s.web.authentication.preauth.RequestHeaderAuthenticationFilter,也是这种类型功能的一个好例子。】

对于admin用户的登录,我们的算法期望在请求头中包含如下的数据:

请求头

j_username

admin

j_password

admin

j_signature

admin|+|admin

一般来讲,AuthenticationProvider将会寻找特定的AuthenticationToken,而后者会在过滤器链中位置比较靠前的servlet filter里面进行填充赋值(明确会在AuthenticationManager访问检查执行之前),如下图描述:


 

在这种方式中,AuthenticationToken的提供者与其消费者AuthenticationProvider有一点脱离关系了。所以,在实现自定义AuthenticationProvider时,通常还需要实现一个自定义的servlet过滤器,其作用是提供特定的AuthenticationToken。

自定义认证token

我们实现自定义的方法会尽可能的使用Spring Security的基本功能。基于此,我们会扩展并增强基本类如UsernamePasswordAuthenticationToken,并添加一个新的域来存储我们已编码的签名字符串。最终的类com.packtpub.springsecurity.security.SignedUsernamePasswordAuthenticationToken,如下:

 

Java代码   收藏代码
  1. package com.packtpub.springsecurity.security;  
  2. // imports omitted  
  3.   public class SignedUsernamePasswordAuthenticationToken   
  4. extends UsernamePasswordAuthenticationToken {  
  5.     private String requestSignature;  
  6.     private static final long serialVersionUID =   
  7.     3145548673810647886L;  
  8.   /** 
  9.    * Construct a new token instance with the given principal,  
  10. credentials, and signature. 
  11.   *  
  12.   * @param principal the principal to use 
  13.   * @param credentials the credentials to use 
  14.   * @param signature the signature to use 
  15.   */  
  16.   public SignedUsernamePasswordAuthenticationToken(String principal,  
  17.     String credentials, String signature) {  
  18.     super(principal, credentials);  
  19.     this.requestSignature = signature;  
  20.     }  
  21.   public void setRequestSignature(String requestSignature) {  
  22.     this.requestSignature = requestSignature;  
  23.     }  
  24.   public String getRequestSignature() {  
  25.     return requestSignature;  
  26.     }  
  27. }   

         我们可以看到SignedUsernamePasswordAuthenticationToken是一个简单的POJO类,扩展自UsernamePasswordAuthenticationToken。Tokens并不需要太复杂——它们的主要目的就是为后面的校验封装凭证信息。

实现对请求头处理的servlet过滤器

         现在,我们要写servlet过滤器的代码,它负责将请求头转换成我们新定义的token。同样的,我们扩展对应的Spring Security基本类。在本例中,o.s.s.web.authentication.

AbstractAuthenticationProcessingFilter满足我们的要求。

【基本过滤器AbstractAuthenticationProcessingFilter在Spring Security中是很多进行认证过滤器的父类(包括OpenID、中心认证服务以及基于form的用户名和密码登录)。这个类提供了标准的认证逻辑并适当织入了其它重要的资源如RememberMeServices和ApplicationEventPublisher(本章的后面将会讲解到)。】

         现在,让我们看一下代码:

 

Java代码   收藏代码
  1. // imports omitted  
  2.   public class RequestHeaderProcessingFilter extends   
  3.     AbstractAuthenticationProcessingFilter {  
  4.   private String usernameHeader = "j_username";  
  5.   private String passwordHeader = "j_password";  
  6.   private String signatureHeader = "j_signature";  
  7.   protected RequestHeaderProcessingFilter() {  
  8.     super("/j_spring_security_filter");  
  9.     }  
  10.   @Override  
  11.   public Authentication attemptAuthentication   
  12.     (HttpServletRequest request,HttpServletResponse response)   
  13.     throws AuthenticationException,  
  14.       IOException, ServletException {  
  15.     String username = request.getHeader(usernameHeader);  
  16.     String password = request.getHeader(passwordHeader);  
  17.     String signature = request.getHeader(signatureHeader);  
  18.     SignedUsernamePasswordAuthenticationToken authRequest =   
  19.       new SignedUsernamePasswordAuthenticationToken   
  20.       (username, password, signature);  
  21.     return this.getAuthenticationManager().authenticate(authRequest);  
  22.     }  
  23.   // getters and setters omitted below  
  24. }   

           可以看到,这个比较简单的过滤器查找三个已命名的请求头,正如我们已经规划的那样(如果需要的话,可以通过bean属性进行配置),并监听默认的URL  /j_spring_security_filter。正如其它的Spring Security过滤器那样,这是一个虚拟的URL并被我们的过滤器的基类AbstractAuthenticationProcessingFilter所识别,基于此这个过滤器采取行动尝试创建Authentication token并认证用户的请求。

【区分参与认证token流程的各个组件。在这个功能中,很容易被这些术语、接口和类的名字搞晕。代表要认证的token接口是o.s.s.core.Authentication,这个接口的实现将以后缀AuthenticationToken结尾。这是一个很简单的方式来区分Spring Security提供的认证实现类。】

在本例中,我们尽可能将错误检查最小化(译者注:即参数的合法性与完整性的检查)。可能在实际的应用中,会校验是否所有头信息都提供了以及在发现用户提供信息不正确的时候要抛出异常或对用户进行重定向。

一个细小的配置变化是需要将我们的过滤器插入到过滤器链中:

 

Xml代码   收藏代码
  1. <http auto-config="true" ...>  
  2.   <custom-filter ref="requestHeaderFilter"   
  3.   before="FORM_LOGIN_FILTER"/>  
  4. </http>  

 你可以看到过滤器代码最后请求AuthenticationManager来进行认证。这将最终委托配置的AuthenticationProvider,它们中的一个要支持检查SignedUsernamePasswordAuthenticationToken。接下来,我们需要书写一个AuthenticationProvider来做这件事情。

实现基于请求头的AuthenticationProvider

现在,我们写一个AuthenticationProvider的实现类,即com.packtpub.springsecurity.security.SignedUsernamePasswordAuthenticationProvider,负责校验我们自定义Authentication token的签名。

 

Java代码   收藏代码
  1. package com.packtpub.springsecurity.security;  
  2. // imports omitted  
  3.   public class SignedUsernamePasswordAuthenticationProvider   
  4.   extends DaoAuthenticationProvider {  
  5.     @Override  
  6.     public boolean supports(Class<? extends Object> authentication) {  
  7.       return (SignedUsernamePasswordAuthenticationToken .class.isAssignableFrom(authentication));  
  8.     }  
  9.   @Override  
  10.   protected void additionalAuthenticationChecks   
  11.   (UserDetails userDetails,  
  12.     UsernamePasswordAuthenticationToken authentication)  
  13.     throws AuthenticationException {  
  14.     super.additionalAuthenticationChecks   
  15.     (userDetails, authentication);  
  16.     SignedUsernamePasswordAuthenticationToken signedToken =   
  17.       (SignedUsernamePasswordAuthenticationToken) authentication;  
  18.     if(signedToken.getRequestSignature() == null) {  
  19.       throw new BadCredentialsException(messages.getMessage(  
  20.       "SignedUsernamePasswordAuthenticationProvider  
  21.       .missingSignature", "Missing request signature"),  
  22.       isIncludeDetailsObject() ? userDetails : null);  
  23.     }  
  24. // calculate expected signature   
  25.   if(!signedToken.getRequestSignature()   
  26.   .equals(calculateExpectedSignature(signedToken))) {  
  27.   throw new BadCredentialsException(messages.getMessage   
  28.   ("SignedUsernamePasswordAuthenticationProvider   
  29.   .badSignature", "Invalid request signature"),  
  30.   isIncludeDetailsObject() ? userDetails : null);  
  31.   }  
  32. }  
  33. private String calculateExpectedSignature   
  34.   (SignedUsernamePasswordAuthenticationToken signedToken) {  
  35.     return signedToken.getPrincipal() + "|+|" +   
  36.     signedToken.getCredentials();  
  37.   }  
  38. }  

 你可以看到我们再次扩展了框架中的类DaoAuthenticationProvider,因为有用的数据访问代码仍然需要进行实际的用户密码校验以及通过UserDetailsService加载UserDetails。

         这个类有些复杂,所以我们将分别介绍其中的每个方法。

         Supports方法,是重写父类的方法,向AuthenticationManager指明当前AuthenticationProvider要进行校验的期望运行时Authentication token。

         接下来,additionalAuthenticationChecks方法被父类调用,此方法允许子类对token进行特有的校验。这正适合我们的策略,所以添加上我们对token新的签名检查。基本上已经完成了我们自定义“简单SSO”的实现,仅剩一处配置了。

连接AuthenticationProvider

         一个常见的要求就是将一个或更多的AuthenticationProvider接口连接起来,因为用户可能会以几种校验方式中的某一种登录系统。

因为到目前为止,我们还没有了解其它的AuthenticationProvider,我们可以假设以下的需求,即使用标准的用户名和密码基于form的认证以及前面实现的自定义简单SSO认证。当配置了多个AuthenticationProvider时,每个AuthenticationProvider都会检查过滤器提供给它的AuthenticationToken,仅当这个token类型它支持时才会处理这个token。以这种方式,你的应用同时支持不同的认证方式并不会有什么坏处。

连接多个AuthenticationProvider实际上很简单。只需要在我们的dogstore-security.xml配置文件中声明另一个authentication-provider引用。

 

Xml代码   收藏代码
  1. <authentication-manager alias="authenticationManager">  
  2.   <authentication-provider ref"signedRequestAuthenticationProvider"/>  
  3.   <authentication-provider user-service-ref="jdbcUserService">  
  4.     <password-encoder ref="passwordEncoder" >  
  5.       <salt-source ref="saltSource"/>  
  6.     </password-encoder>  
  7.   </authentication-provider>  
  8. </authentication-manager>  

          与我们安全配置文件中引用的其它Spring bean一样,signedRequestAuthenticationProvider引用就是我们的AuthenticationProvider,它将在dogstore-base.xml中与其它的Spring bean一起进行配置。

 

Xml代码   收藏代码
  1. <bean id="signedRequestAuthenticationProvider"  class="com.packtpub.springsecurity.security   
  2. .SignedUsernamePasswordAuthenticationProvider">  
  3.   <property name="passwordEncoder" ref="passwordEncoder"/>  
  4.   <property name="saltSource" ref="saltSource"/>  
  5.   <property name="userDetailsService" ref="jdbcUserService"/>  
  6. </bean>  

 我们自定义的AuthenticationProvider的bean属性其实都是父类所需要的。这些也都指向了我们在AuthenticationManager的中第二个authentication-provider声明中的那些bean。

         最终已经完成了支持这个简单单点登录功能的编码和配置,至此可以给自己一个小小的喝彩。但是,还有一个小问题——我们应该怎样操作请求的http头以模拟我们的SSO认证提供者呢?

使用请求头模拟单点登录

         尽管我们的场景比较牵强,但是有一些商业和开源的单点登录解决方案,它们能够被配置以通过HTTP请求头发送凭证信息,最具有代表性的是CA(以前的Netegrity)SiteMinder。

【需要特别注意的是,与SSO方案集成的应用是不能通过用户的直接请求访问的。通常情况下,SSO provider功能作为代理,通过它确定用户的请求流程(是安全的)或provider持有关于密码的信息并将这些信息与单个的安全应用隔离。在没有完全了解一个其使用的硬件、网络和安全设施之前,不要部署SSO应用。】

         Mozilla Firefox的浏览器扩展,名为Modify Headers(可以在以下地址获得:http://modifyheaders.mozdev.org),是一个很简单的工具能够用来模拟伪造HTTP头的请求。以下的截图表明了如何使用这个工具添加我们的SSO方案所希望得到的请求头信息:



 将所有的头信息标示为Enabled,访问这个URL:http://localhost:8080/JBCPPets/j_spring_security_filter,会发现我们能够自动登录系统。你可能也会发现我们给予form的登录还能继续可用,这是因为保留了这两个AuthenticationProvider实现以及过滤器链中对应的过滤器。

(译者注:说实话,作者这个实现自定义AuthenticationProvider的例子真的是比较牵强,但是还算完整描述出了其实现方式,想深入了解AuthenticationProvider自定义的朋友,可以参照Spring Security提供的CasAuthenticationProvider等实现。)

实现自定义AuthenticationProviders时要考虑的事项

         尽管我们刚刚看到的例子并没有阐述你想构建的AuthenticationProvider,但是任何自定义AuthenticationProvider的步骤是类似的。这个练习的关键在于:

l  基于用户的请求完成一个Authentication实现的任务一般情况下会在过滤器链中的某一个中进行。取决于是否校验凭证的数据,这个校验组件可能要进行扩展;

l  基于一个合法的Authentication认证用户的任务需要AuthenticationProvider的实现来完成。请查看我们在第二章中讨论过的AuthenticationProvider所被期望拥有的功能;

l  在一些特殊的场景下,如果未认证的session被发现,可能会需要自定义的AuthenticationEntryPoint。我们将会在本章接下来的部分更多了解这个接口,也会在第十章介绍中心认证服务(CAS)时,介绍一些AuthenticationEntryPoint的实际例子。

如果你能时刻记住它们的角色,当你在开发应用特定的AuthenticationProvider时,会在实现和调试过程中少很多的迷惑。

ggmmsoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security验证流程剖析及自定义验证方法
08-27
通过这种方式,Spring Security将会使用自定义AuthenticationProvider进行用户验证。自定义验证方法可以满足特定场景下的复杂需求,例如集成外部认证服务、实现更复杂的密码策略等。 总之,Spring Security的验证...
spring security 3.x第五章例子
09-21
Spring Security 是一个强大的和高度可定制的身份验证和...总的来说,Spring Security 3.x第五章的实例将帮助开发者深入理解这个框架的使用,通过具体的代码示例来实践安全性配置,从而更好地保护他们的Spring应用。
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security 3.1 自定义 authentication provider
xyzroundo的专栏
07-26 1251
来源:http://www.xeclipse.com/?p=1359 前言 在使用Spring Security的时候,遇到一个比较特殊的情况,需要根据用户名、邮箱等多个条件去验证用户或者使用第三方的验证服务来进行用户名和密码的判断,这样SS(Spring Security,一下简称SS)内置的authentication provider和user detail se
spring-authorization-server系列--Oauth2.1自定义模式
最新发布
qq_16033193的博客
06-19 730
前面几篇文章分析,找到Oauth2.1支持的自定义入口OAuth2AuthorizationServerConfigurer中的tokenEndpoint方法,通过这个入口我们可以将自定义的模式注入到Oauth2.1框架中。/***/
6. Spring Security AuthenticationProvider
一个人的人生
11-29 776
AuthenticationProvider 目录 1.1     用户信息从数据库获取 1.1.1    使用jdbc-user-service获取 1.1.2    直接使用JdbcDaoImpl 1.2     PasswordEncoder 1.2.1    使用内置的PasswordEncoder 1.2.2    使用自定义的PasswordEncoder      
spring boot security 自定义AuthenticationProvider
wgq2020的博客
11-11 214
例如,如果仅支持用户名和密码认证,则返回UsernamePasswordAuthenticationToken.class。Spring Boot Security提供了一种易于扩展的方式来自定义AuthenticationProvider,以便在验证用户时使用自定义逻辑。在authenticate方法中实现自定义的用户认证逻辑。例如,可以从数据库中查询用户信息和密码,然后与用户提供的信息进行比较。这样,就可以使用自定义的逻辑来验证用户并授权他们的访问。
Spring Security(七)-- AuthenticationProvider
学习不止境的博客
10-19 5836
Spring Security中的AuthenticationProvider负责身份验证逻辑。AuthenticationProvider接口的默认实现会将查找系统用户的职责委托给UserDetailsService。它还使用PasswordEncoder在身份验证过程中进行密码管理。}AuthenticationProvider的职责是与Authentication接口紧密耦合一起的。authenticate()方法会。
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
spring security 官方文档
10-08
9. **自定义**:Spring Security非常灵活,允许开发者根据需求自定义部分组件,如访问决策管理器、权限评估器等,以满足特定业务场景。 10. **与其他Spring框架的集成**:Spring SecuritySpring Boot、Spring ...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义AuthenticationProvider和...
Spring Security Authentication Provider
qq_31230529的博客
09-22 867
1. OverviewThis tutorial will show how to set up an Authentication Provider in Spring Security to allow for additional flexibility compared to the standard scenario using a simple UserDetailsService.2.
【9】Spring Boot 3 集成组件 : 基于spring security的认证权限开发【认证】
寓教于乐。教己助人
12-07 689
:book: 本文核心知识点: - [x] 认证和权限流程 - [x] 认证和权限控制说明 - [x] 认证流程在spring security中的相关理论知识 - [x] JWT认证 - [x] 用户名认证 - [x] session认证 - [x] 认证流程Sepring Security配置
springSecurity---AuthenticationProvider解析
池海
03-13 5934
首先进入到AuthenticationProvider源码中可以看到它只是个简单的接口里面也只有两个方法: public interface AuthenticationProvider { // 具体认证流程 Authentication authenticate(Authentication authentication) throws AuthenticationException...
spring security——工作笔记 实现自定义 AuthenticationProvider身份认证-使用不同的用户表订证登录
ourenyou的博客
06-08 1408
创建不同的数据查询入口第一种用户验证第二种用户验证先用一个接口继承再用一个类来实现. . . //通过 phone 获取用户信息,前提手机号码能定位唯一用户 public UserDetails loadUserByPhone(String phone) throws UsernameNotFoundException {//从持久层获取数据 User user = userMapper . getUserInfoByPhone(phone);
Spring Boot实现用户注册验证全过程
qwe11223344556的博客
01-10 554
0. 阅读完本文你将会学会 如何实现一个基本的注册验证过程 如何自定义一个注解 1. 概述 在这篇文章中,我们将使用Spring Boot实现一个基本的邮箱注册账户以及验证的过程。 我们的目标是添加一个完整的注册过程,允许用户注册,验证,并持久化用户数据。 2. 创建User DTO Object 首先,我们需要一个DTO来囊括用户的注册信息。这个对象应该包含我们在注册和验证过程中所需要的基本信息。 例2.1 UserDto的定义 package com.savagegarden.web.
Springboot3 + SpringSecurity + JWT + OpenApi3 实现认证授权
m0_71777195的博客
06-07 5707
目前全网最新的 Spring Security + JWT 实现双 Token 的案例!此项目由作者个人创作,可以供大家学习和项目实战使用,创作不易,转载请注明出处!该项目使用目前最新的 Sprin Boot3 版本,采用目前市面上最主流的 JWT 认证方式,实现双token刷新。温馨提示:SpringBoot3 版本必须要使用 JDK11 或 JDK19。
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7664
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
SpringSecurity自定义AuthenticationProviderAuthenticationFilter
08-25
SpringSecurity提供了自定义AuthenticationProviderAuthenticationFilter的功能。在Spring Security中,AuthenticationProvider是一个接口,用于对用户进行身份验证。默认的实现是DaoAuthenticationProvider。你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值