Сопоставление каждого блока http с определенным поставщиком аутентификации

Question

Я хотел бы основать свою конфигурацию Spring Security в зависимости от контекста пользователя.Если пользователь идет по URL-адресу с http://path1/resource1, я бы хотел направить его конкретному поставщику аутентификации.Если они приходят на http://path2/resource2, я бы хотел направить их к другому поставщику аутентификации.Эти URL-пути являются вызовами веб-служб на основе REST, поэтому они не сохраняют состояния и не поступают из формы.В настоящее время все поставщики аутентификации выполняются.Каков наилучший подход к этой ситуации?Я использую Spring-Security 3.1.0.M1.

<http pattern="/path1/**" create-session="stateless">
        <intercept-url pattern="/**" access="ROLE_USER,ROLE_VAR,ROLE_ADMIN" />
        <http-basic />      
</http>
<http pattern="/path2/**" create-session="stateless">
        <intercept-url pattern="/**" access="ROLE_USER,ROLE_VAR,ROLE_ADMIN" />
        <http-basic />      
</http>

Answer 1

Вы можете определить ссылку на менеджер аутентификации в каждом блоке http:

<http pattern="/api/**" authentication-manager-ref="apiAccess">
    ...
</http>

<http auto-config = "true" authentication-manager-ref="webAccess">
    ...
</http>

<!-- Web authentication manager -->
<authentication-manager id="webAccess">
    <authentication-provider
        user-service-ref="userService">
    </authentication-provider>
</authentication-manager>

<!-- API authentication manager -->    
<authentication-manager id="apiAccess">
    <authentication-provider
        user-service-ref="developerService">
    </authentication-provider>
</authentication-manager>

Эта функция была добавлена ​​в Spring Security 3.1.

Answer 2

Это работает для меня:

<security:authentication-manager alias="basicAuthenticationManager">
  <security:authentication-provider user-service-ref="accountService">
    <security:password-encoder hash="sha"/>
  </security:authentication-provider>
  <security:authentication-provider user-service-ref="accountService"/>
</security:authentication-manager>

<bean id="basicProcessingFilter" class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter">
    <property name="authenticationManager">
        <ref bean="basicAuthenticationManager" />
    </property>    
    <property name="authenticationEntryPoint">
        <ref bean="basicProcessingEntryPoint" />
    </property>
</bean>

<bean id="basicProcessingEntryPoint"
    class="com.yourpackage.web.util.CustomBasicAuthenticationEntryPoint">
    <property name="realmName" value="yourRealm" />
</bean>

<!-- Stateless RESTful service using Basic authentication -->   
<security:http pattern="/rest/**" create-session="stateless" entry-point-ref="basicProcessingEntryPoint">       
    <security:custom-filter ref="basicProcessingFilter" position="BASIC_AUTH_FILTER" />     
    <security:intercept-url pattern="/rest/new" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <security:intercept-url pattern="/rest/**" access="ROLE_USER" />
</security:http>

<!-- Additional filter chain for normal users, matching all other requests -->
<security:http use-expressions="true">
    <security:intercept-url pattern="/index.jsp" access="permitAll" />      
    <security:intercept-url pattern="/**" access="hasRole('ROLE_USER')" />

    <security:form-login login-page="/signin" 
        authentication-failure-url="/signin?signin_error=1" 
        default-target-url="/" 
        always-use-default-target="true"/>      
    <security:logout />
</security:http>

Я реализовал точку входа аутентификации, потому что мне нужно было отправлять некоторые специальные коды ошибок в определенных ситуациях, но вам не нужно это делать.