Spring Security REST Войти - PullRequest
Новая
       14

Spring Security REST Войти

0 голосов
/ 26 марта 2019

У меня вопрос по входу через REST API с помощью Spring Security.Поскольку работает вход в систему с окном входа по умолчанию, предоставленным Spring Security, и проверка подлинности с базой данных, я понятия не имею, как сделать свой собственный вход в систему.Я знаю, как заменить форму на мою, но куда мне отправлять данные?Должен ли я отправить его по какому-то адресу?Я сделал базовую форму с именем пользователя и паролем.

Ответы [ 2 ]

0 голосов
/ 26 марта 2019

Попробуйте это, это может помочь вам ... по крайней мере, понять, что вам не хватает. Этот код не гарантирует, что он будет выполнен на 100%, некоторая часть намеренно пропущена (обработка ошибок и ее формат, загрузка пользователя, некоторые проверки, Session API).

Основная идея заключается в том, что вы должны зарегистрировать фильтр (реагировать на все защищенные запросы для процесса аутентификации) и провайдер, который в дальнейшем сможет загрузить авторизованного пользователя и создать для вас контекст безопасности (например, вы знаете, что каждый запрос обрабатывается). для каждого потока, и этот пользователь может быть получен SecurityContextHolder / ThreadLocal).

И вам нужно создать отдельный контроллер для обработки начального случая для создания пользовательского сеанса, известного как логин / авторизация. Ответ этого API должен содержать GUID некоторого сеанса, чтобы позже использовать его в качестве значения заголовка: Authentication: Bearer <value>

некоторые спецификации: https://tools.ietf.org/html/rfc6750

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//optional
@Import(RestSecurityConfig.TokenAuthenticationProvider.class)// one of the way to create spring bean
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
    private static final RequestMatcher PUBLIC_URLS = new OrRequestMatcher(
            new AntPathRequestMatcher("/actuator/*"),
            new AntPathRequestMatcher("/some_api_to_login", POST), // this must be public
    );
    private static final RequestMatcher PROTECTED_URLS = new NegatedRequestMatcher(PUBLIC_URLS);

    // better to move it out as a separate class
    public static class TokenAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
        @Override
        public boolean supports(Class<?> authentication) {
            return MyAuthenticationToken.class.isAssignableFrom(authentication);
        }

        @Override
        protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {

        }

        @Override
        protected UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
            return null; // service/dao.loadUser
        }
    }

    public static class TokenAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
        public TokenAuthenticationFilter(RequestMatcher requiresAuthenticationRequestMatcher) {
            super(requiresAuthenticationRequestMatcher);
        }

        @Override
        public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
            Authentication auth = new MyAuthenticationToken(request.getHeader("Authentication"));
            return getAuthenticationManager().authenticate(auth);
        }
    }

    @Autowired
    TokenAuthenticationProvider authenticationProvider;

    @Override
    protected void configure(final AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(authenticationProvider);
    }

    @Override
    public void configure(final WebSecurity web) {
        web.ignoring().requestMatchers(PUBLIC_URLS);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // maybe some of the tuning you might not need
        http
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .exceptionHandling()
                .defaultAuthenticationEntryPointFor(new Http403ForbiddenEntryPoint(), PROTECTED_URLS).and()
                .authorizeRequests().anyRequest().authenticated().and()
                .cors().and()
                .anonymous().disable()
                .rememberMe().disable()
                .csrf().disable()
                .formLogin().disable()
                .httpBasic().disable()
                .logout().disable();

        // it's important
        http.addFilterBefore(tokenAuthenticationFilter(), AnonymousAuthenticationFilter.class);
    }

    @Bean
    AbstractAuthenticationProcessingFilter tokenAuthenticationFilter() throws Exception {
        final AbstractAuthenticationProcessingFilter filter = new TokenAuthenticationFilter(PROTECTED_URLS);
        filter.setAuthenticationManager(authenticationManager());
        filter.setAuthenticationSuccessHandler(successHandler());
        // maybe error handling to provide some custom response?
        return filter;
    }

    // it's critically important to register your filter properly in spring context
    /** Disable Spring boot automatic filter registration. */
    @Bean
    FilterRegistrationBean disableRegistrationForAuthenticationFilter(final TokenAuthenticationFilter filter) {
        final FilterRegistrationBean registration = new FilterRegistrationBean(filter);
        registration.setEnabled(false);
        return registration;
    }

    // this one also is critically important to avoid redirection
    @Bean
    SimpleUrlAuthenticationSuccessHandler successHandler() {
        final SimpleUrlAuthenticationSuccessHandler successHandler = new SimpleUrlAuthenticationSuccessHandler();
        successHandler.setRedirectStrategy(new NoRedirectStrategy());
        return successHandler;
    }

}
0 голосов
/ 26 марта 2019

Вы можете хранить имена пользователей и пароли в базе данных, которые вы можете использовать для входа пользователей. Вы создаете свой собственный класс, который расширяет WebSecurityConfigurerAdapter и переопределяете методы, которые вам нужно изменить: 

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    DataSource dataSource;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth.jdbcAuthentication()
            .dataSource(dataSource)
    }
}

Но при поиске имен пользователей и паролей можно варьировать запрос к базе данных Spring Security по умолчанию, чтобы вы могли создать схему базы данных, которая будет хорошей: 

public static final String DEF_USERS_BY_USERNAME_QUERY =
"select username,password,enabled " +
"from users " +
"where username = ?";
public static final String DEF_AUTHORITIES_BY_USERNAME_QUERY =
"select username,authority " +
"from authorities " +
"where username = ?";
public static final String DEF_GROUP_AUTHORITIES_BY_USERNAME_QUERY =
"select g.id, g.group_name, ga.authority " +
"from groups g, group_members gm, group_authorities ga " +
"where gm.username = ? " +
"and g.id = ga.group_id " +
"and g.id = gm.group_id";

Но вы также можете использовать методы Spring для указания собственного запроса к базе данных: 

auth
.jdbcAuthentication()
.dataSource(dataSource)
.usersByUsernameQuery(
"select username, password, enabled from Users " +
"where username=?")

Вы должны отправить свои данные в какой-то созданный вами сервис, который будет хранить пользователя и передавать в базу данных.

...