那些遇到过的问题

Spring Security,Boot:替换默认的DaoAuthenticationProvider

Alt*_*852 8 java security spring spring-mvc spring-boot

我想在登录过程中添加用户ip验证.如果用户的IP地址不在数据库中,则应用程序应拒绝身份验证.

问题:鉴于下面的设置,结果是auth.authenticationProvider()没有替换默认的DaoAuthenticationProvider,而是将UserIpAuthenticationProvider添加为列表中的第一个AuthenticationProvider.

在用户名/密码组合不正确的情况下,框架最终调用UserDetailsS​​ervice.loadUserByUsername()两次,一次来自UserIpAuthenticationProvider,另一次来自内部DaoAuthenticationProvider,它抛出最终的BadCredentialsException().

问题:是否有任何可以在Spring Boot中设置的设置,以便Spring Security不会添加它自己的内部实例DaoAuthenticationProvider,而只使用我的UserIpAuthenticationProvider,它已经拥有所有必要的功能(可能通过某种方式替换AuthenticationManagerBuilder能够覆盖userDetailsS​​ervice()方法?).

public <T extends UserDetailsService> DaoAuthenticationConfigurer<AuthenticationManagerBuilder,T> userDetailsService(
        T userDetailsService) throws Exception {
    this.defaultUserDetailsService = userDetailsService;
    return apply(new DaoAuthenticationConfigurer<AuthenticationManagerBuilder,T>(userDetailsService));
}
Run Code Online (Sandbox Code Playgroud)

配置:根据我的理解,UserDetailsS​​ervice应该提供有关用户的所有必要详细信息,以便AuthenticationProvider可以决定身份验证是否成功.

由于从数据库加载了所有必要的信息,因此扩展DaoAuthenticationProvider并在覆盖additionalAuthenticationChecks()方法中添加额外的验证似乎很自然(白名单中的IP列表在数据库中,因此它们作为用户对象的一部分加载IpAwareUser).

@Named
@Component
class UserIpAuthenticationProvider  extends DaoAuthenticationProvider {
    @Inject
    public UserIpAuthenticationProvider(UserDetailsService userDetailsService)
    {
        ...
    }

    @SuppressWarnings("deprecation")
    protected void additionalAuthenticationChecks(UserDetails userDetails,
                                                  UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        super.additionalAuthenticationChecks(userDetails, authentication);

        WebAuthenticationDetails details = (WebAuthenticationDetails) authentication.getDetails();
        IpAwareUser ipAwareUser = (IpAwareUser) userDetails;
        if (!ipAwareUser.isAllowedIp(details.getRemoteAddress()))
        {
            throw new DisabledException("Login restricted from ip: " + details.getRemoteAddress());
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

这被注入SecurityConfiguration:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.addFilter(authenticationFilter);

        http.authorizeRequests()
                .antMatchers("/", "/javascript/**", "/css/**").permitAll()
                .antMatchers("...").access("...")
                .anyRequest().authenticated()
                .and().formLogin().loginPage("/").permitAll()
                .and().logout().invalidateHttpSession(true).deleteCookies("JSESSIONID").permitAll()
                .and().csrf().disable()
        ;
    }

    @Inject
    private UserDetailsService userDetailsService;

    @Inject
    private UserIpAuthenticationProvider userIpAuthenticationProvider;


    @Inject
    private JsonUsernamePasswordAuthenticationFilter authenticationFilter;

    @Bean
    public JsonUsernamePasswordAuthenticationFilter authenticationFilter() {
        return new JsonUsernamePasswordAuthenticationFilter();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(userIpAuthenticationProvider);
        auth.userDetailsService(userDetailsService);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public AuthenticationSuccessHandler authenticationSuccessHandler() throws Exception {
        return new JsonAuthenticationSuccessHandler();
    }

    @Bean
    public AuthenticationFailureHandler authenticationFailureHandler() throws Exception {
        return new JsonAuthenticationFailureHandler();
    }
}
Run Code Online (Sandbox Code Playgroud)

和应用程序配置:

@Configuration
@EnableAutoConfiguration
@ComponentScan(basePackageClasses = {SecurityConfiguration.class, DataController.class, DaoService.class})
public class Application extends SpringBootServletInitializer {

    @Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder application) {
        return application;
    }
}
Run Code Online (Sandbox Code Playgroud)

任何有关这方面的指导将非常感激.

Sim*_*mon -1

定义自己的 DaoAuthenticationProvider

@Bean
public DaoAuthenticationProvider daoAuthenticationProvider() {
    return new UserIpAuthenticationProvider();
}
Run Code Online (Sandbox Code Playgroud)

应该替换 Spring Boot 默认实例(不是说 bean 类型是 DaoAuthenticationProvider 而不是UserIpAuthenticationProvider)

归档时间:

查看次数:

4194 次

最近记录:

6 年,1 月 前
相关归档
使用同步方法而不是同步块是否有优势? 397
如何在屏幕上居中使用JDialog? 79
如何比较数组列表与现代Java的相等性? 68
ASP.NET MVC是否容易受到oracle padding攻击? 15
通过比较证书指纹进行SSL认证? 14
与maven并行运行Spring测试 8
autowiring servletContext vs实现servletContextAware 6
Spring Data Mongodb - 如何进行批量更新插入 6
AntiForgeryToken应该应用于每个帖子吗? 5
使用 Spring Actuator 时无法排除 /info 和 /health/{*path} 5
难疑归档
如何获得$(this)选择器的子节点? 2182
如何将元素移动到另一个元素? 1611
按值对地图<键,值>进行排序 1569
喜欢构成而不是继承? 1538
如何在Javascript中的数组开头添加新的数组元素? 1476
你如何存放未跟踪的文件? 1287
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
在Python中检查类型的规范方法是什么? 1171
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
在Python中查找扩展名为.txt的目录中的所有文件 1043