Commutateur de sécurité à ressort pour l'authentification LDAP et les autorités de base de données

Question

J'ai implémenté l'authentification de la base de données pour ma page Web et mon service Web . Cela fonctionne bien pour les deux; existe je dois utiliser ma base de données pour les rôles d'utilisateur (dans ma base de données, le nom d'utilisateur est le même nom d'utilisateur que Ldap) . Je dois donc passer de mon code actuel à l'authentification Ldap et à la base de données comme expliqué ci-dessus. Mon code est: Classe SecurityConfig

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired @Qualifier("userDetailsService") UserDetailsService userDetailsService; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder(){ PasswordEncoder encoder = new BCryptPasswordEncoder(); return encoder; } @Configuration @Order(1) public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .antMatcher("/client/**") .authorizeRequests() .anyRequest().authenticated() .and() .httpBasic(); } } @Configuration @Order(2) public static class FormWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override public void configure(WebSecurity web) throws Exception { web //Spring Security ignores request to static resources such as CSS or JS files. .ignoring() .antMatchers("/static/**"); } @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() //Authorize Request Configuration //the / and /register path are accepted without login //.antMatchers("/", "/register").permitAll() //the /acquisition/** need admin role //.antMatchers("/acquisition/**").hasRole("ADMIN") //.and().exceptionHandling().accessDeniedPage("/Access_Denied"); //all the path need authentication .anyRequest().authenticated() .and() //Login Form configuration for all others .formLogin() .loginPage("/login") //important because otherwise it goes in a loop because login page require authentication and authentication require login page .permitAll() .and() .logout() .logoutSuccessUrl("/login?logout") .permitAll(); // CSRF tokens handling } }

Classe MyUserDetailsService

@Service("userDetailsService") public class MyUserDetailsService implements UserDetailsService { @Autowired private UserServices userServices; static final Logger LOG = LoggerFactory.getLogger(MyUserDetailsService.class); @Transactional(readOnly=true) @Override public UserDetails loadUserByUsername(final String username){ try{ com.domain.User user = userServices.findById(username); if (user==null) LOG.error("Threw exception in MyUserDetailsService::loadUserByUsername : User doesn't exist" ); else{ List<GrantedAuthority> authorities = buildUserAuthority(user.getUserRole()); return buildUserForAuthentication(user, authorities); } }catch(Exception e){ LOG.error("Threw exception in MyUserDetailsService::loadUserByUsername : " + ErrorExceptionBuilder.buildErrorResponse(e)); } return null; } // Converts com.users.model.User user to // org.springframework.security.core.userdetails.User private User buildUserForAuthentication(com.domain.User user, List<GrantedAuthority> authorities) { return new User(user.getUsername(), user.getPassword(), user.isEnabled(), true, true, true, authorities); } private List<GrantedAuthority> buildUserAuthority(Set<UserRole> userRoles) { Set<GrantedAuthority> setAuths = new HashSet<GrantedAuthority>(); // Build user's authorities for (UserRole userRole : userRoles) { setAuths.add(new SimpleGrantedAuthority(userRole.getUserRoleKeys().getRole())); } List<GrantedAuthority> Result = new ArrayList<GrantedAuthority>(setAuths); return Result; }

je dois donc:

1) accès de l'utilisateur à partir de la page de connexion pour les pages Web et nom d'utilisateur et mot de passe pour les services Web. Cela doit être fait par Ldap.

2) le nom d'utilisateur de l'utilisateur a besoin de la base de données pour authentifier l'utilisateur . Avez-vous une idée de la façon dont je peux l'implémenter? Merci

UPDATE AVEC LE CODE DROIT: après le @M. Conseil Deinum je crée la classe MyAuthoritiesPopulator au lieu de MyUserDetailsService et l'authentification avec la base de données et Ldap fonctionne:

 @Service("myAuthPopulator") public class MyAuthoritiesPopulator implements LdapAuthoritiesPopulator { @Autowired private UserServices userServices; static final Logger LOG = LoggerFactory.getLogger(MyAuthoritiesPopulator.class); @Transactional(readOnly=true) @Override public Collection<? extends GrantedAuthority> getGrantedAuthorities(DirContextOperations userData, String username) { Set<GrantedAuthority> authorities = new HashSet<GrantedAuthority>(); try{ com.domain.User user = userServices.findById(username); if (user==null) LOG.error("Threw exception in MyAuthoritiesPopulator::getGrantedAuthorities : User doesn't exist into ATS database" ); else{ for(UserRole userRole : user.getUserRole()) { authorities.add(new SimpleGrantedAuthority(userRole.getUserRoleKeys().getRole())); } return authorities; } }catch(Exception e){ LOG.error("Threw exception in MyAuthoritiesPopulator::getGrantedAuthorities : " + ErrorExceptionBuilder.buildErrorResponse(e)); } return authorities; } }

et j'ai changé SecurityConfig comme ci-dessous:

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired @Qualifier("myAuthPopulator") LdapAuthoritiesPopulator myAuthPopulator; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.ldapAuthentication() .contextSource() .url("ldap://127.0.0.1:10389/dc=example,dc=com") // .managerDn("") // .managerPassword("") .and() .userSearchBase("ou=people") .userSearchFilter("(uid={0})") .ldapAuthoritiesPopulator(myAuthPopulator); } @Configuration @Order(1) public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .antMatcher("/client/**") .authorizeRequests() //Excluede send file from authentication because it doesn't work with spring authentication //TODO add Java authentication to send method .antMatchers(HttpMethod.POST, "/client/file").permitAll() .anyRequest().authenticated() .and() .httpBasic(); } } @Configuration @Order(2) public static class FormWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override public void configure(WebSecurity web) throws Exception { web //Spring Security ignores request to static resources such as CSS or JS files. .ignoring() .antMatchers("/static/**"); } @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() //Authorize Request Configuration //the "/" and "/register" path are accepted without login //.antMatchers("/", "/register").permitAll() //the /acquisition/** need admin role //.antMatchers("/acquisition/**").hasRole("ADMIN") //.and().exceptionHandling().accessDeniedPage("/Access_Denied"); //all the path need authentication .anyRequest().authenticated() .and() //Login Form configuration for all others .formLogin() .loginPage("/login") //important because otherwise it goes in a loop because login page require authentication and authentication require login page .permitAll() .and() .logout() .logoutSuccessUrl("/login?logout") .permitAll(); } } }

Mon environnement de développement LDAP créé dans le studio d'annuaire Apache

M. Deinum · Accepted Answer

Spring Security prend déjà en charge LDAP prêt à l'emploi. Il a en fait un chapitre entier à ce sujet.

Pour utiliser et configurer LDAP, ajoutez la dépendance spring-security-ldap et utilisez ensuite le répertoire AuthenticationManagerBuilder.ldapAuthentication pour le configurer. Le LdapAuthenticationProviderConfigurer vous permet de configurer les éléments nécessaires.

@Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.ldapAuthentication() .contextSource() .url(...) .port(...) .managerDn(...) .managerPassword(...) .and() .passwordEncoder(passwordEncoder()) .userSearchBase(...) .ldapAuthoritiesPopulator(new UserServiceLdapAuthoritiesPopulater(this.userService)); }

Quelque chose comme ça (ça devrait vous donner au moins une idée sur quoi/comment configurer les choses), il y a plus d'options mais vérifiez les javadocs pour cela. Si vous ne pouvez pas utiliser la variable UserService telle quelle pour récupérer les rôles (car seuls les rôles figurent dans la base de données), implémentez votre propre LdapAuthoritiesPopulator pour cela.

melli-182 · Answer

Vous devez créer une méthode CustomAuthenticationProvider avec implémente AuthenticationProvider et override authenticate par exemple:

@Component public class CustomAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String username = authentication.getName(); String password = authentication.getCredentials().toString(); boolean authenticated = false; /** * Here implements the LDAP authentication * and return authenticated for example */ if (authenticated) { String usernameInDB = ""; /** * Here look for username in your database! * */ List<GrantedAuthority> grantedAuths = new ArrayList<>(); grantedAuths.add(new SimpleGrantedAuthority("ROLE_USER")); Authentication auth = new UsernamePasswordAuthenticationToken(usernameInDB, password, grantedAuths); return auth; } else { return null; } } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } }

Ensuite, dans votre SecurityConfig, vous devez remplacer le configure qui utilise AuthenticationManagerBuilder:

@Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(this.authenticationProvider); }

Vous pouvez autoriser le CustomAuthenticationProvider de cette manière:

@Autowired private CustomAuthenticationProvider authenticationProvider;

Ce faisant, vous pouvez remplacer le comportement d'authentification par défaut.

rhinmass · Answer

Pour ceux qui utilisent le grail, c'est beaucoup plus simple. Ajoutez simplement ceci à votre configuration:

grails: brancher: la sécurité des ressorts: ldap: les autorités: retrieveDatabaseRoles: true

Dr4gon · Answer

J'ai aussi trouvé ce chapitre Spring Docu Custom Authenicator et créer mon propre commutateur entre LDAP et les utilisateurs de ma base de données. Je peux facilement basculer entre les données de connexion avec les priorités définies (dans mon cas, LDAP gagne).

J'ai configuré un LDAP avec les fichiers de configuration yaml pour les données utilisateur LDAP, ce que je ne divulgue pas ici en détail. Ceci peut être facilement fait avec ceci Spring Docu LDAP Configuration .

J'ai dépouillé l'exemple suivant du logger/javadoc, etc. pour mettre en évidence les parties importantes. L'annotation @Order détermine les priorités d'utilisation des données de connexion. Les détails en mémoire sont des utilisateurs de débogage codés en dur à des fins de développement uniquement.

SecurityWebConfiguration

@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Inject private Environment env; @Inject private LdapConfiguration ldapConfiguration; @Inject private BaseLdapPathContextSource contextSource; @Inject private UserDetailsContextMapper userDetailsContextMapper; @Inject private DBAuthenticationProvider dbLogin; @Inject @Order(10) // the lowest number wins and is used first public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(new InMemoryUserDetailsManager(getInMemoryUserDetails())); } @Inject @Order(11) // the lowest number wins and is used first public void configureLDAP(AuthenticationManagerBuilder auth) throws Exception { if (ldapConfiguration.isLdapEnabled()) { auth.ldapAuthentication().userSearchBase(ldapConfiguration.getUserSearchBase()) .userSearchFilter(ldapConfiguration.getUserSearchFilter()) .groupSearchBase(ldapConfiguration.getGroupSearchBase()).contextSource(contextSource) .userDetailsContextMapper(userDetailsContextMapper); } } @Inject @Order(12) // the lowest number wins and is used first public void configureDB(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(dbLogin); } }

Authentificateur de base de données

@Component public class DBAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String name = authentication.getName(); String password = authentication.getCredentials().toString(); // your code to compare to your DB } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } /** * @param original <i>mandatory</i> - input to be hashed with SHA256 and HEX encoding * @return the hashed input */ private String sha256(String original) { MessageDigest md = null; try { md = MessageDigest.getInstance("SHA-256"); } catch (NoSuchAlgorithmException e) { throw new AuthException("The processing of your password failed. Contact support."); } if (false == Strings.isNullOrEmpty(original)) { md.update(original.getBytes()); } byte[] digest = md.digest(); return new String(Hex.encodeHexString(digest)); } private class AuthException extends AuthenticationException { public AuthException(final String msg) { super(msg); } } }

N'hésitez pas à demander des détails. J'espère que cela est utile pour quelqu'un d'autre: D