春季会议和春季安全

Question

我对以下方面有疑问:春季会议和春季安全.

春季会议

我有一个受Spring Security保护的应用程序,通过示例示例中提供的基本内存中身份验证.

我看到spring正在创建会话ID,即使身份验证不成功,这意味着x-auth-token即使我不提供基本身份验证凭据详细信息,我也会在Redis数据库中看到我的响应标头.我们如何避免为身份验证失败创建会话？

春季安全

假设spring会话仅为受保护资源创建会话,则希望使用spring security来保护资源.

假设Signin API(/ signin - HTTP Post)针对第三方REST API验证(用户名和密码)凭据.

外部API验证凭据后,如何在成功验证时更新spring安全上下文？

应提供对x-auth-token需要验证的其他安全资源的访问,并基于对安全资源的信息访问.

在这种情况下我们是否需要Spring Security或者我应该使用基本的过滤器和弹簧会话？推荐什么？

Answer 1

通常情况下,最好将您的问题分解为多个StackOverflow问题,因为您更有可能找到知道单个问题答案的人而不是两者.

我们如何避免为身份验证失败创建会话？

默认情况下,Spring Security会将最后一次未经身份验证的请求保存到会话中,以便在您进行身份验证后,它可以再次自动发出请求.例如,如果您请求example.com/a/b/c并且未经过身份验证,则在浏览器中,它会将example.com/a/b/c保存到HttpSession,然后让用户进行身份验证.通过身份验证后,它会自动为您提供example.com/a/b/c的结果.这提供了良好的用户体验,因此您的用户无需再次键入URL.

在REST服务的情况下,这不是必需的,因为客户端会记住需要重新请求哪个URL.您可以通过修改配置来使用NullRequestCache来阻止保存,如下所示:

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .requestCache()
            .requestCache(new NullRequestCache())
            .and()
        .httpBasic();
}

您可以通过提供自己的AuthenticationProvider来提供自定义身份验证.例如:

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.authority.AuthorityUtils;

public class RestAuthenticationProvider implements AuthenticationProvider {

    public Authentication authenticate(Authentication authentication)
            throws AuthenticationException {
        UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;

        String username = token.getName();
        String password = (String) token.getCredentials();

        // validate making REST call
        boolean success = true;
        // likely your REST call will return the roles for the user
        String[] roles = new String[] { "ROLE_USER" };

        if(!success) {
            throw new BadCredentialsException("Bad credentials");
        }

        return new UsernamePasswordAuthenticationToken(username, null, AuthorityUtils.createAuthorityList(roles));
    }

    public boolean supports(Class<?> authentication) {
        return (UsernamePasswordAuthenticationToken.class
                .isAssignableFrom(authentication));
    }

}

然后,您可以使用以下内容配置RestAuthenticationProvider:

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    ...

    @Bean
    public RestAuthenticationProvider restAuthenticationProvider() {
        return new RestAuthenticationProvider();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth, AuthenticationProvider provider) throws Exception {
        auth
            .authenticationProvider(provider);
    }
}