Spring Security и Oauth2 недоразумение - PullRequest
Новая
       71

Spring Security и Oauth2 недоразумение

0 голосов
/ 15 февраля 2019

В настоящее время я работаю над приложением Spring Boot, и у меня есть задача по обеспечению безопасности приложения.Они предложили использовать аутентификацию токенов OAuth2, хотя в других приложениях, которые мне удастся создать, можно создать защиту с помощью другого весеннего учебника по безопасности.Они созданы на основе учебных пособий, которые я нашел в разных источниках: 

public class OAuthPermissionConfig extends ResourceServerConfigurerAdapter 

@Override
public void configure(HttpSecurity http) throws Exception {
    http.anonymous().disable()
            .authorizeRequests()
            .antMatchers("/pim/oauth/token").permitAll().and().formLogin()
            .and().authorizeRequests().antMatchers("/actuator/**", "/v2/api-docs", "/webjars/**",
            "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-ui.html",
            "/swagger-resources/configuration/security").hasAnyAuthority("ADMIN")
            .anyRequest().authenticated();
}





 public class CustomAuthenticationProvider implements AuthenticationProvider 

@Autowired
private ADService adService;

@Autowired
private UserService userService;

@Override
@Transactional
public Authentication authenticate(Authentication authentication) {
    try {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        User user = userService.getUserByUsername(username);
        userService.isUserAllowedToUseTheApplication(user);
        if (adService.isUserNearlyBlockedInAD(user)) {
            throw new BadCredentialsException(CustomMessages.TOO_MANY_LOGIN_FAILED);
        } else {
            adService.login(username, password);
        }
        List<GrantedAuthority> userAuthority = user.getRoles().stream()
                .map(p -> new SimpleGrantedAuthority(p.getId())).collect(Collectors.toList());
        return new LoginToken(user, password, userAuthority);
    } catch (NoSuchDatabaseEntryException | NullArgumentException | NamingException | EmptyUserRolesException e) {
        throw new BadCredentialsException(CustomMessages.INVALID_CREDENTIALS + " or " + CustomMessages.UNAUTHORIZED);
    }
}

@Override
public boolean supports(Class<?> authentication) {
    return authentication.equals(
            UsernamePasswordAuthenticationToken.class);
}





@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder getPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}




public class OAuthServerConfig extends AuthorizationServerConfigurerAdapter 

@Autowired
private AuthenticationManager authenticationManager;

@Autowired
private UserService userService;

@Autowired
private PasswordEncoder passwordEncoder;

@Bean
public TokenEnhancer tokenEnhancer() {
    return new CustomTokenEnhancer();
}

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
    endpoints.authenticationManager(authenticationManager).tokenEnhancer(tokenEnhancer());
}

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

    clients
            .inMemory()
            .withClient("pfjA@Dmin")
            .secret(passwordEncoder.encode("4gM~$laY{gnfShpa%8Pcjwcz-J.NVS"))
            .authorizedGrantTypes("password")
            .accessTokenValiditySeconds(UTILS.convertMinutesToSeconds(1440))
            .scopes("read", "write", "trust")
            .resourceIds("oauth2-resource");
}

@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
    security.checkTokenAccess("isAuthenticated()").allowFormAuthenticationForClients();
}

При тестировании входа в систему я использую почтальон с такими параметрами:

http://localhost:8080/oauth/token?grant_type=password

Заголовки:Базовый btoa (pfjA @ Dmin, 4gM ~ $ laY {gnfShpa% 8Pcjwcz-J.NVS)

Тип содержимого: application / x-www-form-urlencoded

Тело: form-data-> имя пользователя и пароль, которые должны быть действительными учетными данными пользователя из базы данных.И пользователь ответит, если учетные данные верны

"access_token": "f0dd6eee-7a64-4079-bb1e-e2cbcca6d7bf",

"token_type": "bearer",

"expires_in": 86399,

"scope": "read write trust"

Теперь я должен использовать этот токен для всех других запросов, в противном случае у меня нет разрешения на использованиеapplication.

Мой вопрос: это другая версия Spring Security или как?Я читал об аутентификации OAuth2, но я читал, что приложение может иметь ОБА Spring Security и OAuth2.Может кто-нибудь объяснить мне, если что-то не так с тем, как мы решили реализовать безопасность приложения?

Большое спасибо!

1 Ответ

0 голосов
/ 16 февраля 2019

Да, вы можете подумать, что это другая версия безопасности Spring, она заменяет некоторые стратегии стандартной безопасности Spring, такие как проверка авторизации запросов.

...