Spring Custom AuthenticationProvider для принципала с дополнительными данными

Question

Spring Custom AuthenticationProvider для принципала с дополнительными данными

1

Я новичок в Spring.

Моя цель состоит в том, чтобы иметь некоторый AuthenticationProvider с настраиваемым методом authenticate который принимает объект Authenticate как аргумент с более чем просто именем пользователя и паролем. Позвольте сказать имя области (и могут быть 2 пользователя с тем же именем пользователя, когда они находятся в разных сферах). Я уже искал ответы на свой вопрос, но простые ответы на вопросы об аутентификации объясняют, как расширить AbstractUserDetailsAuthenticationProvider, который не удовлетворяет мои потребности, потому что метод retrieve принимает имя пользователя как аргумент, в то время как мне также требуется имя области для извлечения пользователя. Сложные из них касаются расширения или реализации всех видов различных классов и интерфейсов Spring без объяснения контекста.

Итак, простой вопрос:

Как мне реализовать/расширить AuthenticationProvider, чтобы читать пользовательские данные из объекта Authentication?

Мой вызов будет выглядеть так (да, я хочу получить токен OAuth2):

curl -vX POST http://localhost:9001/oauth/token \
-d "client_id=myId&client_secret=secret&grant_type=password&username=myUser&password=1234&realm=realm3"

Обратите внимание на realm=realm3 в конце.

Вызов без дополнительных данных и с моим собственным подклассом AbstractUserDetailsAuthenticationProvider уже работает, когда существует только одна область.

Заранее спасибо!

backendev 02 май 2014, в 19:53

Источник

Теги:

java

spring-security

spring

spring-security-oauth2

1 ответ

Ещё вопросы

Gabriel Ruiu · Accepted Answer · 2014-05-02T17-41-00.000Z

Как мне реализовать/расширить AuthenticationProvider, чтобы читать пользовательские данные из объекта Authentication?

RealmAuthenticationProvider

public class RealmAuthenticationProvider implements AuthenticationProvider {

    private RUPAuthenticator rupAuthenticator;

    public RealmAuthenticationProvider(RUPAuthenticator rupAuthenticator) {
        this.rupAuthenticator = rupAuthenticator;
    }

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        Object principal = authentication.getPrincipal();
        Object credentials = authentication.getCredentials();
        Object realm = authentication.getDetails();
        if (rupAuthenticator.authenticate(principal, credentials, realm)) {
            List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
            grantedAuths.add(new SimpleGrantedAuthority("ROLE_USER")); //use any GrantedAuthorities you need
            return new RealmAuthenticationToken(principal, credentials, realm, grantedAuths);
        };
        return null;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return RealmAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

RealmAuthenticationToken

public class RealmAuthenticationToken extends UsernamePasswordAuthenticationToken {

    private Object realm;

    public RealmAuthenticationToken(Object principal, Object credentials, Object realm, Collection<? extends GrantedAuthority> authorities) {
        super(principal,credentials, authorities);
        this.realm = realm;
    }
}

RUPAuthenticator

public interface RUPAuthenticator {
    boolean authenticate(Object username, Object password, Object realm);
}

Вам просто нужно предоставить реализацию для RUPAuthenticator, в которой указано, правильны ли имя пользователя, пароль, комбинации областей.

Затем зарегистрируйте пользовательский AuthenticationProvider (RealmAuthenticationProvider) в качестве компонента. Ниже приведен пример поставщика проверки подлинности, который принимает запросы от конкретного пользователя:

@Bean
public AuthenticationManager authenticationManager() {
        List<AuthenticationProvider> providers = new ArrayList<AuthenticationProvider>();
        providers.add(new RealmAuthenticationProvider(new RUPAuthenticator() {
            @Override
            public boolean authenticate(Object username, Object password, Object realm) {
                return (username.equals("sa") && password.equals("sa") && realm.equals("realm2"));
            }
        }));
        return new ProviderManager(providers);
    }

Надеюсь, это то, что вы искали.

Большое спасибо! Это выглядит очень многообещающе, я уже отмечу его как ответ, хотя мне все еще нужно выяснить, как классы связаны друг с другом, последовательность вызовов и что нужно изменить в файле security.xml, чтобы это сработало.
Я еще не смог интегрировать это. Разве мне не нужно упоминать UserDetailsService для <authentication-manager> в security.xml? И UserDetailsService имеет loadUserByUsername (String username) и предполагает, что имя пользователя уникально.
Вам не нужен сервис UserDetails, так как вы не используете экземпляр AbstractUserDetailsAuthenticationProvider. Вам необходимо зарегистрировать ProviderManager, который включает в себя RealmAuthenticationProvider, который, в свою очередь, нуждается в RUPAuthenticator, который выполняет фактическую авторизацию, на основе примера, который я привел
Проблема в том, что в дополнение к аутентификации пользователя + области мне также нужна обычная аутентификация. В моем файле security.xml я настроил clientCredentialsTokenEndpointFilter, который использует clientAuthenticationManager, который использует clientDetailsUserService. Затем есть еще один аутентификационный менеджер, который использует normalUserAuthenticationProvider. Один из менеджеров имеет идентификатор, другой псевдоним, оба упоминаются в фильтре (один в имени, один в ссылке на элемент свойства). Я не совсем понимаю.
Вернемся к вам завтра и посмотрим, что мы можем выяснить. Идея состоит в том, что вы можете объединить поставщиков аутентификации в менеджере аутентификации. Однако в случае ProviderManager, если один из AuthenticationProviders успешно аутентифицируется, остальные не принимаются во внимание. Я должен увидеть, каким образом мы можем объединить два поставщика аутентификации
В AuthProvider для обычных пользователей (без области) я могу просто проверить, есть ли область в authentic.getDetails (), и наоборот для другого поставщика. Это будет гарантировать, что только правильные поставщики успешно аутентифицируют соответствующих пользователей.
Я получил немного дальше: провайдеры AuthenticationProviders выбираются токеном, который они поддерживают. Новый RealmAuthenticationProvider поддерживает новый RealmAuthenticationToken. Но когда CompositeTokenGranter (вызываемый TokenEndpoint) выбирает ResourceOwnerPasswordTokenGranter, этот грантер создает UserPasswordAuthenticationToken, поэтому правильный AuthenticationProvider не может быть выбран (не поддерживается). Я думаю, мне нужно реализовать свой собственный TokenGranter? Кажется, это больше связано с OAuth2, чем я думал в начале.