Filtre d’authentification personnalisé Spring Security utilisant Java Config

Question

J'essaie de configurer Spring Security à l'aide de Java config dans une application Web de base pour s'authentifier auprès d'un service Web externe à l'aide d'un jeton crypté fourni dans un paramètre de demande d'URL.

Je voudrais (je pense) avoir un filtre de sécurité qui intercepte les demandes du portail de connexion (toutes vont à/authentifient), le filtre utilisera un AuthenticationProvider pour traiter la logique de gestion du processus d'authentification.

Login Portal -> Rediriger '\ authenticate' (+ Jeton) -> Authentifier le jeton de nouveau sur Login Portal (WS) -> En cas de succès, obtenez les rôles et configurez l'utilisateur.

J'ai créé un filtre ..

@Component public final class OEWebTokenFilter extends GenericFilterBean { @Override public void doFilter(final ServletRequest request, final ServletResponse response, final FilterChain chain) throws IOException, ServletException { if (request instanceof HttpServletRequest) { OEToken token = extractToken(request); // dump token into security context (for authentication-provider to pick up) SecurityContextHolder.getContext().setAuthentication(token); } } chain.doFilter(request, response); }

Un fournisseur d'authentification ...

@Component public final class OEWebTokenAuthenticationProvider implements AuthenticationProvider { @Autowired private WebTokenService webTokenService; @Override public boolean supports(final Class<?> authentication) { return OEWebToken.class.isAssignableFrom(authentication); } @Override public Authentication authenticate(final Authentication authentication) { if (!(authentication instanceof OEWebToken)) { throw new AuthenticationServiceException("expecting a OEWebToken, got " + authentication); } try { // validate token locally OEWebToken token = (OEWebToken) authentication; checkAccessToken(token); // validate token remotely webTokenService.validateToken(token); // obtain user info from the token User userFromToken = webTokenService.obtainUserInfo(token); // obtain the user from the db User userFromDB = userDao.findByUserName(userFromToken.getUsername()); // validate the user status checkUserStatus(userFromDB); // update ncss db with values from OE updateUserInDb(userFromToken, userFromDB); // determine access rights List<GrantedAuthority> roles = determineRoles(userFromDB); // put account into security context (for controllers to use) return new AuthenticatedAccount(userFromDB, roles); } catch (AuthenticationException e) { throw e; } catch (Exception e) { // stop non-AuthenticationExceptions. otherwise full stacktraces returned to the requester throw new AuthenticationServiceException("Internal error occurred"); } }

Et ma configuration de sécurité du printemps

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired OESettings oeSettings; @Bean(name="oeAuthenticationService") public AuthenticationService oeAuthenticationService() throws AuthenticationServiceException { return new AuthenticationServiceImpl(new OEAuthenticationServiceImpl(), oeSettings.getAuthenticateUrl(), oeSettings.getApplicationKey()); } @Autowired private OEWebTokenFilter tokenFilter; @Autowired private OEWebTokenAuthenticationProvider tokenAuthenticationProvider; @Autowired private OEWebTokenEntryPoint tokenEntryPoint; @Bean(name="authenticationManager") @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(tokenAuthenticationProvider); } @Bean public FilterRegistrationBean filterRegistrationBean () { FilterRegistrationBean registrationBean = new FilterRegistrationBean(); registrationBean.setFilter(tokenFilter); registrationBean.setEnabled(false); return registrationBean; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/authenticate**").permitAll() .antMatchers("/resources/**").hasAuthority("ROLE_USER") .antMatchers("/home**").hasAuthority("ROLE_USER") .antMatchers("/personSearch**").hasAuthority("ROLE_ADMIN") // Spring Boot actuator endpoints .antMatchers("/autoconfig**").hasAuthority("ROLE_ADMIN") .antMatchers("/beans**").hasAuthority("ROLE_ADMIN") .antMatchers("/configprops**").hasAuthority("ROLE_ADMIN") .antMatchers("/dump**").hasAuthority("ROLE_ADMIN") .antMatchers("/env**").hasAuthority("ROLE_ADMIN") .antMatchers("/health**").hasAuthority("ROLE_ADMIN") .antMatchers("/info**").hasAuthority("ROLE_ADMIN") .antMatchers("/mappings**").hasAuthority("ROLE_ADMIN") .antMatchers("/metrics**").hasAuthority("ROLE_ADMIN") .antMatchers("/trace**").hasAuthority("ROLE_ADMIN") .and() .addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class) .authenticationProvider(tokenAuthenticationProvider) .antMatcher("/authenticate/**") .exceptionHandling().authenticationEntryPoint(tokenEntryPoint) .and() .logout().logoutSuccessUrl(oeSettings.getUrl()); } }

Mon problème est la configuration du filtre dans ma classe SpringConfig. Je souhaite que le filtre ne prenne effet que lorsque la demande concerne l'URL/authenticate, mais j'ai ajouté .antMatcher ("/ authenticate/**") à la configuration du filtre.

.and() .addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class) .authenticationProvider(tokenAuthenticationProvider) .antMatcher("/authenticate/**") .exceptionHandling().authenticationEntryPoint(tokenEntryPoint)

Lorsque cette ligne n'est plus sécurisée dans toutes les autres URL, je peux naviguer manuellement vers/home sans authentifier, supprimer la ligne et/home est authentifié.

Devrais-je déclarer un filtre qui ne s'applique qu'à une URL spécifique?

Comment puis-je implémenter cela tout en maintenant la sécurité des autres URL?

Steve Faro · Answer

J'ai résolu mon problème en vérifiant l'état de l'authentification dans le filtre avant d'impliquer le fournisseur d'authentification ....

Config

.and() .addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class) .authenticationProvider(tokenAuthenticationProvider) .exceptionHandling().authenticationEntryPoint(tokenEntryPoint)

Filtre

@Override public void doFilter(final ServletRequest request, final ServletResponse response, final FilterChain chain) throws IOException, ServletException { logger.debug(this + "received authentication request from " + request.getRemoteHost() + " to " + request.getLocalName()); if (request instanceof HttpServletRequest) { if (isAuthenticationRequired()) { // extract token from header OEWebToken token = extractToken(request); // dump token into security context (for authentication-provider to pick up) SecurityContextHolder.getContext().setAuthentication(token); } else { logger.debug("session already contained valid Authentication - not checking again"); } } chain.doFilter(request, response); } private boolean isAuthenticationRequired() { // apparently filters have to check this themselves. So make sure they have a proper AuthenticatedAccount in their session. Authentication existingAuth = SecurityContextHolder.getContext().getAuthentication(); if ((existingAuth == null) || !existingAuth.isAuthenticated()) { return true; } if (!(existingAuth instanceof AuthenticatedAccount)) { return true; } // current session already authenticated return false; }