Spring Boot2中针对执行器和自定义APIendpoint的独立身份验证提供程序
我们有一个spring boot应用程序(spring boot 2.1.4版),它公开了一个用Oauth2保护的Rest API。
我们还需要将spring boot提供的健康检查(致动器)endpoint公开给一个只支持基本身份验证的遗留监控工具。
但是,由于spring boot 2与常规应用程序安全规则共享安全配置,所以到目前为止我能看到的唯一选项是用Oauth2保护它或者不保护它(.PermitAll())。
我尝试使用单独的WebSecurityConfigurerAdapter为执行器endpoint设置httpBasic身份验证提供程序,为APIendpoint设置oauth2,同时使用execution@order,但这两个身份验证提供程序似乎是互斥的。
下面是两个WebSecurityConfigurerAdapter实现:
- 执行器:
@Configuration
@Order(1)
public class ActuatorConfigurationAdapter extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("admin").password("password")
.roles("ADMIN", "USER");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
// requestMatchers(EndpointRequest.to(MetricsEndpoint.class))
.antMatchers("/actuator/**")
.hasAnyRole("ADMIN","USER").and().authorizeRequests().and().httpBasic();
}
}
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
@Order(10)
public class SecurityConfiguration2 extends WebSecurityConfigurerAdapter {
@Autowired
private CorsFilter corsFilter;
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.cors()
.and()
.addFilterBefore(corsFilter, CsrfFilter.class)
.exceptionHandling()
.authenticationEntryPoint(new HttpStatusEntryPoint(HttpStatus.UNAUTHORIZED))
.and()
.headers()
.and()
.authorizeRequests()
.antMatchers("/v2/api-docs").permitAll()
.antMatchers("/authenticate").permitAll()
.antMatchers("/customer/**").hasAuthority("MARKETING")
.anyRequest().authenticated()
.and()
.oauth2Login() // generates the /login page
.successHandler(successHandler())
...
}
共有1个答案
我有相同的用途,这对我来说是有效的:
@EnableWebSecurity()
@EnableGlobalMethodSecurity(
securedEnabled = true,
prePostEnabled = true
)
public class WebSecurityConfig {
@Configuration
@Order(3)
public static class ActuatorSecurityAdapter extends WebSecurityConfigurerAdapter {
@Autowired
private AppProperties prop;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.requestMatcher(EndpointRequest.toAnyEndpoint())
.authorizeRequests()
.requestMatchers(EndpointRequest.to("info","env")).authenticated()
.requestMatchers(EndpointRequest.to("health")).permitAll()
.anyRequest().hasRole("ADMIN") // Any other endpoint
.and()
.httpBasic();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
@Override
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername(prop.getManagement().getUsername())
.password(prop.getManagement().getPassword()).roles("ACTUATOR").build());
return manager;
}
}
[....]
@Configuration
@Order(1)
public class OAuthSecurityConfig extends WebSecurityConfigurerAdapter {
[...]
}
(也许有帮助:)
-
我有一个正在运行的Spring Boot应用程序(Spring Boot v2.4.1),我想用Spring Boot Admin监控它。 我已经安装了服务器,可以在/actuator/endpoint不安全的情况下监视应用程序的实例。我有一张照片在上面。 现在我想保护它,但我不知道如何在不干扰我当前安全配置的情况下做到这一点。 我将Spring Security配置为匹配数据库中的用户名和密码以
-
我正在将应用程序的安全性迁移到Spring Security4.0。我的要求是身份验证应该是JAAS身份验证,自动化数据将从数据库中提取。所以我已经编写和自定义了身份验证提供程序。但我的问题是Spring没有将身份验证请求委托给我的自定义身份验证提供程序。 代码如下 web.xml条目 调用堆栈
-
如何通过使用Spring Security和Java配置来定义自定义身份验证提供程序?我想在我自己的数据库上执行一个登录检查凭据。
-
在我的firebase应用程序中,用户可以使用 Google(Firebase的联邦提供商)或 Slack(作为自定义身份验证提供程序实现) 我想给用户链接两个帐户的机会。所以我要开的案子是: 用户使用Google登录 用户转到“设置”并单击“使用松弛连接” 然后应该链接用户帐户,以便他下次可以使用Slack或Google登录 我现在想知道,我是否可以通过某种方式从我的自定义松弛身份验证获得一个A
-
我正在尝试实现一个自定义密钥克拉克身份验证器SPI,用于针对外部数据源/REST服务进行身份验证。计划是将它们迁移到Keycloak。 成功后,在keycloak数据源上创建用户。 创建自定义映射器以在令牌上添加额外的用户属性。 我正在遵循官方指南https://www.keycloak.org/docs/latest/server_development/index.html#_auth_spi
-
我想为Spring Security配置L 我配置spring-security.xml指出m 如何设置为 Spring,使用我的自定义类而不是他的 deafaul LDAP 身份验证提供程序?