Как настроить предварительную аутентификацию на основе заголовков в Spring Boot?
Мое приложение получает заголовок запроса AUTH_USER с именем пользователя из единого входа Oracle Access Manager. В Spring Security "Дополнительные темы" 2.2.1 есть пример "PreAuth", который мне нужен, но не полный рабочий пример.
Приведенные ниже фрагменты взяты из документов / примеров, не работает конфигурация на основе аннотаций.
Пример конфигурации Siteminder - использование XML с запросами RequestHeaderAuthenticationFilter и PreAuthenticatedAuthenticationProvider и UserDetailsService для поиска пользователей.
Как это сопоставить с конфигурацией на основе Java?
<security:http>
<!-- Additional http configuration omitted -->
<security:custom-filter position="PRE_AUTH_FILTER" ref="siteminderFilter" />
</security:http>
<bean id="siteminderFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
<property name="principalRequestHeader" value="AUTH_USER"/>
<property name="authenticationManager" ref="authenticationManager" />
</bean>
<bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth. PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
<bean id="userDetailsServiceWrapper"
class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
<property name="userDetailsService" ref="userDetailsService"/>
</bean>
</property>
</bean>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="preauthAuthProvider" />
</security:authentication-manager>
Пример preauth Spring Security имеет совершенно иную настройку (конфигурация XML еще более пугающая). Нет упоминания о фильтре предварительной авторизации или о том, как установить имя заголовка.
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/login","/resources/**").permitAll()
.anyRequest().authenticated()
.and()
.jee()
.mappableRoles("USER","ADMIN");
}
}
Spring-boot-sample-web-secure расширяет WebMvcConfigurerAdapter вместо WebSecurityConfigurerAdapter и просто выполняет базовые входы на основе форм, без информации о том, как получить идентификатор пользователя из заголовка AUTH_USER перед аутентификацией.
public class SampleWebSecureApplication extends WebMvcConfigurerAdapter {
... omitted...
@Bean
public ApplicationSecurity applicationSecurity() {
return new ApplicationSecurity();
}
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
protected static class ApplicationSecurity extends WebSecurityConfigurerAdapter {
@Autowired
private SecurityProperties security;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().fullyAuthenticated().and().formLogin()
.loginPage("/login").failureUrl("/login?error").permitAll();
}
}
}
Я прочитал много ссылок / статей, но они, похоже, не связаны с текущим кодом и Spring-boot, поэтому застряли, пытаясь понять, как настроить безопасность приложения перед проверкой подлинности.
1 ответ
Это мой способ настройки безопасности перед аутентификацией на основе введенного userService:
@Configuration
@EnableWebSecurity
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true, securedEnabled = true, prePostEnabled = true, proxyTargetClass = true)
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {
private static final Logger LOG = Logger.getLogger(ApplicationSecurity.class.getName());
@Autowired
private UserService userService; // implements AuthenticationUserDetailsService...
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
LOG.info("configure autentication provider with custom userService");
PreAuthenticatedAuthenticationProvider paaProvider = new PreAuthenticatedAuthenticationProvider();
paaProvider.setPreAuthenticatedUserDetailsService(userService);
auth.authenticationProvider(paaProvider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
LOG.info("configure autentication filter");
// ...
}
}