Я разработал страницу входа, где пользователь может быть пользователем из активного каталога (LDAP) или локальным пользователем из файловой базы данных H2 или пользователем из файла конфигурации, чьи учетные данные уже сохранены, например, Имя пользователя - admin, Пароль- admin.
В файле конфигурации указаны параметры для включения или отключения LDAP, аутентификации в памяти и базе данных H2.
Предположим, что все 3 типа аутентификации включены и локальный пользовательиз базы данных H2 входит в систему, так что в соответствии с логикой, поскольку все 3 типа аутентификации включены, проверка выполняется во всех 3 базах данных, т.е. в активном каталоге, в памяти и базе данных H2, если пользователь существует или его нет, которого следует избегать,
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private static final Logger _LOG = LoggerFactory.getLogger(SecurityConfig.class);
private ActiveDirectoryLdapAuthenticationProvider provider;
@Autowired
private DataSource dataSource;
@Autowired
private PasswordEncoder bCryptPasswordEncoder;
@Value("${ldap.auth.enabled}")
private boolean ldapAuthEnabled;
@Value("${database.auth.enabled}")
private boolean databaseAuthEnabled;
@Value("${inMemory.auth.enabled}")
private boolean imMemAuthEnabled;
@Value("${userrole.admin.username}")
private String adminUsername;
@Value("${userrole.admin.password}")
private String adminPassword;
@Value("${ldap.domain}")
private String ldapDomain;
@Value("${ldap.url}")
private String ldapUrl;
@PostConstruct
public void configValuesForApplication() {
_LOG.info("Ldap Authentication {}", ldapAuthEnabled);
_LOG.info("In Memory Authentication {} ", imMemAuthEnabled);
_LOG.info("Ldap Authentication {}", ldapAuthEnabled);
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http
.authorizeRequests()
.antMatchers(
"/", "/reg",
"/js*//**//**",
"/css*//**//**",
"/img*//**//**",
"/webjars*//**//**").permitAll()
.antMatchers("/user*//**//**").hasRole("USER")
.antMatchers("/admin", "/h2_console/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/index")
.permitAll()
.and()
.logout()
.invalidateHttpSession(true)
.clearAuthentication(true)
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.logoutSuccessUrl("/login?logout")
.permitAll()
.and()
.exceptionHandling()
.accessDeniedHandler(accessDeniedHandler);
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
if (imMemAuthEnabled) {
auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER")
.and()
.withUser(adminUsername).password(adminPassword).roles("ADMIN");
}
if (databaseAuthEnabled) {
auth.
jdbcAuthentication()
.authoritiesByUsernameQuery("select username, role FROM USER where username=?")
.usersByUsernameQuery("select username,password, 1 FROM USER where username=?")
.dataSource(dataSource)
.passwordEncoder(bCryptPasswordEncoder);
}
if (ldapAuthEnabled) {
provider = new ActiveDirectoryLdapAuthenticationProvider(ldapDomain, ldapUrl);
provider.setConvertSubErrorCodesToExceptions(true);
provider.setUseAuthenticationRequestCredentials(true);
auth.authenticationProvider(provider);
}
}
}
Файл login.properties выглядит следующим образом:
ldap.auth.enabled=true
inMemory.auth.enabled=true
database.auth.enabled=true
userrole.admin.username=admin
userrole.admin.password=admin
userrole.user.username=user
userrole.user.password=user
ldap.domain=foo.com
ldap.url=ldap://abcdef12.foo.com.:450/
spring.h2.console.enabled=true
spring.h2.console.path=/h2_console
spring.datasource.url=jdbc:h2:file:~/h2/vehicledb
spring.datasource.username=sa
spring.datasource.password=
spring.datasource.driverClassName=org.h2.Driver
spring.jpa.hibernate.ddl-auto=update
spring.jpa.show-sql=true
Вопрос состоит в том, как избежать проверки в базе данных LDAP и в памяти, если пользователь из базы данных H2 входит в систему инаоборот?