Spring Security LDAP et Remember Me

La configuration des fonctionnalités RememberMe avec LDAP pose deux problèmes:

• sélection de l'implémentation RememberMe correcte (jetons vs jetons persistants)
• sa configuration à l'aide de Spring Java Configuration

Je vais les prendre étape par étape.

La fonction Se souvenir de moi basée sur les jetons (TokenBasedRememberMeServices) fonctionne de la manière suivante lors de l'authentification:

• l'utilisateur est authentifié (contre AD) et nous connaissons actuellement l'ID et le mot de passe de l'utilisateur
• nous construisons la valeur nom d'utilisateur + expirationTime + mot de passe + staticKey et créons un hachage MD5
• nous créons un cookie qui contient le nom d'utilisateur + l'expiration + le hachage calculé

Lorsque l'utilisateur souhaite revenir au service et être authentifié à l'aide de la fonctionnalité Se souvenir de moi, nous:

• vérifier si le cookie existe et n'est pas expiré
• remplir l'ID utilisateur à partir du cookie et appeler le UserDetailsService fourni qui devrait renvoyer des informations liées à l'ID utilisateur, y compris le mot de passe
• nous calculons ensuite le hachage à partir des données renvoyées et vérifions que le hachage dans le cookie correspond à la valeur que nous avons calculée
• s'il correspond, nous renvoyons l'objet d'authentification de l'utilisateur

Le processus de vérification du hachage est requis afin de s'assurer que personne ne peut créer un "faux" cookie de souvenir de moi, qui leur permettrait de se faire passer pour un autre utilisateur. Le problème est que ce processus repose sur la possibilité de charger le mot de passe à partir de notre référentiel - mais cela est impossible avec Active Directory - nous ne pouvons pas charger le mot de passe en clair basé sur le nom d'utilisateur.

Cela rend l'implémentation basée sur les jetons impropre à l'utilisation avec AD (sauf si nous commençons à créer un magasin d'utilisateurs local qui contient le mot de passe ou d'autres informations d'identification basées sur l'utilisateur secrètes et je ne suggère pas cette approche car je ne connais pas d'autres détails de votre candidature, même si cela peut être une bonne façon de procéder).

L'autre implémentation de Remember me est basée sur des jetons persistants (PersistentTokenBasedRememberMeServices) et fonctionne comme ceci (de manière un peu simplifiée):

• lorsque l'utilisateur s'authentifie, nous générons un jeton aléatoire
• nous stockons le jeton dans le stockage avec des informations sur l'ID de l'utilisateur qui lui est associé
• nous créons un cookie qui inclut l'ID du jeton

Lorsque l'utilisateur souhaite s'authentifier, nous:

• vérifier si nous avons le cookie avec ID de jeton disponible
• vérifier si l'ID de jeton existe dans la base de données
• charger les données de l'utilisateur en fonction des informations de la base de données

Comme vous pouvez le voir, le mot de passe n'est plus requis, bien que nous ayons maintenant besoin d'un stockage de jetons (généralement une base de données, nous pouvons utiliser en mémoire pour les tests) qui est utilisé à la place de la vérification du mot de passe.

Et cela nous amène à la partie configuration. La configuration de base pour le rappel persistant basé sur des jetons ressemble à ceci:

@Override
protected void configure(HttpSecurity http) throws Exception {           
    ....
    String internalSecretKey = "internalSecretKey";
    http.rememberMe().rememberMeServices(rememberMeServices(internalSecretKey)).key(internalSecretKey);
}

 @Bean
 public RememberMeServices rememberMeServices(String internalSecretKey) {
     BasicRememberMeUserDetailsService rememberMeUserDetailsService = new BasicRememberMeUserDetailsService();
     InMemoryTokenRepositoryImpl rememberMeTokenRepository = new InMemoryTokenRepositoryImpl();
     PersistentTokenBasedRememberMeServices services = new PersistentTokenBasedRememberMeServices(staticKey, rememberMeUserDetailsService, rememberMeTokenRepository);
     services.setAlwaysRemember(true);
     return services;
 }

Cette implémentation utilisera un stockage de jetons en mémoire qui devrait être remplacé par JdbcTokenRepositoryImpl pour la production. Le UserDetailsService fourni est responsable du chargement des données supplémentaires pour l'utilisateur identifié par l'ID utilisateur chargé à partir du cookie Remember me. L'implémentation la plus simple peut ressembler à ceci:

public class BasicRememberMeUserDetailsService implements UserDetailsService {
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         return new User(username, "", Collections.<GrantedAuthority>emptyList());
     }
}

Vous pouvez également fournir une autre implémentation UserDetailsService qui charge des attributs supplémentaires ou des appartenances à des groupes à partir de votre base de données AD ou interne, selon vos besoins. Cela pourrait ressembler à ceci:

@Bean
public RememberMeServices rememberMeServices(String internalSecretKey) {
    LdapContextSource ldapContext = getLdapContext();

    String searchBase = "OU=Users,DC=test,DC=company,DC=com";
    String searchFilter = "(&(objectClass=user)(sAMAccountName={0}))";
    FilterBasedLdapUserSearch search = new FilterBasedLdapUserSearch(searchBase, searchFilter, ldapContext);
    search.setSearchSubtree(true);

    LdapUserDetailsService rememberMeUserDetailsService = new LdapUserDetailsService(search);
    rememberMeUserDetailsService.setUserDetailsMapper(new CustomUserDetailsServiceImpl());

    InMemoryTokenRepositoryImpl rememberMeTokenRepository = new InMemoryTokenRepositoryImpl();

    PersistentTokenBasedRememberMeServices services = new PersistentTokenBasedRememberMeServices(internalSecretKey, rememberMeUserDetailsService, rememberMeTokenRepository);
    services.setAlwaysRemember(true);
    return services;
}

@Bean
public LdapContextSource getLdapContext() {
    LdapContextSource source = new LdapContextSource();
    source.setUserDn("user@"+DOMAIN);
    source.setPassword("password");
    source.setUrl(URL);
    return source;
}

Cela vous permettra de vous souvenir de la fonctionnalité qui fonctionne avec LDAP et fournit les données chargées dans RememberMeAuthenticationToken qui seront disponibles dans la SecurityContextHolder.getContext().getAuthentication(). Il pourra également réutiliser votre logique existante pour l'analyse des données LDAP dans un objet utilisateur (CustomUserDetailsServiceImpl).

Comme sujet séparé, il y a aussi un problème avec le code affiché dans la question, vous devez remplacer le:

    authManagerBuilder
            .authenticationProvider(activeDirectoryLdapAuthenticationProvider())
            .userDetailsService(userDetailsService())
    ;

avec:

    authManagerBuilder
            .authenticationProvider(activeDirectoryLdapAuthenticationProvider())
    ;

L'appel à userDetailsService ne doit être effectué que pour ajouter une authentification basée sur DAO (par exemple contre une base de données) et doit être appelé avec une implémentation réelle du service de détails utilisateur. Votre configuration actuelle peut conduire à des boucles infinies.