Spring boot security不尊重自定义AuthenticationProvider[duplicate]的角色
我正在创建自己的自定义身份验证提供程序。现在我只是在检查静态用户名和密码,但稍后这将被更高级的东西所取代,所以虽然我不需要在这种情况下使用自定义提供程序,但这对我帮助不大,因为这只是我尚未添加的其他代码的基础工作。
话虽如此,这是我的代码在其破碎的状态。
我的自定义身份验证提供程序:
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.List;
@Component
public class SatAuthenticationProvider implements AuthenticationProvider {
private static final Logger LOGGER = LoggerFactory.getLogger(SatAuthenticationProvider.class);
public SatAuthenticationProvider() {
LOGGER.info("*** CustomAuthenticationProvider created");
}
@Override
public boolean supports(Class<? extends Object> authentication) {
return (UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication));
}
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
LOGGER.info("*** Creating authentication");
if (authentication.getName().equals("test") && authentication.getCredentials().equals("test")) {
List<GrantedAuthority> grantedAuths = new ArrayList<>();
grantedAuths.add(new SimpleGrantedAuthority("USER"));
grantedAuths.add(new SimpleGrantedAuthority("ADMIN"));
return new UsernamePasswordAuthenticationToken(authentication.getName(), authentication.getCredentials(), grantedAuths);
} else {
return null;
}
}
}
以下是我使用的安全配置:
import com.comcast.iot.das.auth.SatAuthenticationProvider;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class DeviceSecurityConfig extends WebSecurityConfigurerAdapter {
private static final Logger LOGGER = LoggerFactory.getLogger(SatAuthenticationProvider.class);
@Autowired
private SatAuthenticationProvider satAuthenticationProvider;
@Override
protected void configure(HttpSecurity http) throws Exception {
LOGGER.info("*** configuring http");
http.authorizeRequests().anyRequest()
.hasRole("USER")
.and()
.httpBasic();
}
@Autowired
public void configure(AuthenticationManagerBuilder auth) throws Exception {
LOGGER.info("*** Setting builder");
auth.authenticationProvider(this.satAuthenticationProvider);
}
}
现在,当我运行这个程序时,如果我使用curl来命中没有指定用户和密码的endpoint,我会得到以下结果:
% curl http://localhost:8080/molecule
{
"timestamp" : 1505925047977,
"status" : 401,
"error" : "Unauthorized",
"message" : "Full authentication is required to access this resource",
"path" : "/molecule"
}
如果我指定正确的用户名和密码,我得到以下信息:
% curl -u test:test http://localhost:8080/molecule
{
"timestamp" : 1505925033015,
"status" : 403,
"error" : "Forbidden",
"message" : "Access is denied",
"path" : "/molecule"
}
最后,如果我指定了错误的用户名和密码,我会得到以下结果:
% curl -u test:test2 http://localhost:8080/molecule
{
"timestamp" : 1505925199406,
"status" : 401,
"error" : "Unauthorized",
"message" : "No AuthenticationProvider found for org.springframework.security.authentication.UsernamePasswordAuthenticationToken",
"path" : "/molecule"
}
最后一点,虽然我不能让角色直接工作,但我可以让它测试用户是否经过身份验证,并使用它授予权限。这不是一个可行的解决方案,因为我需要角色,但它可能会给任何试图回答这个问题的人一些提示。
因此,我可以如下更改DeviceSecurity Config类的配置方法:
@Override
protected void configure(HttpSecurity http) throws Exception {
LOGGER.info("*** configuring http");
http.authorizeRequests().anyRequest()
.authenticated()
.and()
.httpBasic();
}
有了这个新版本的代码,我的curl请求似乎至少能像预期的那样工作(尽管当然没有办法添加角色):。下面是我刚才提到的代码编辑的curl结果。
没有用户名和密码:
% curl http://localhost:8080/molecule
{
"timestamp" : 1505925444957,
"status" : 401,
"error" : "Unauthorized",
"message" : "Full authentication is required to access this resource",
"path" : "/molecule"
}
密码不正确:
% curl -u test:test2 http://localhost:8080/molecule
{
"timestamp" : 1505925456018,
"status" : 401,
"error" : "Unauthorized",
"message" : "No AuthenticationProvider found for org.springframework.security.authentication.UsernamePasswordAuthenticationToken",
"path" : "/molecule"
}
现在,使用以下命令输入正确的密码和用户名,将返回我通常期望的endpoint的完整响应(省略)。
% curl -u test:test http://localhost:8080/molecule
共有1个答案
角色权限的前缀应为角色:
grantedAuths.add(new SimpleGrantedAuthority("ROLE_USER"));
grantedAuths.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
-
我使用java配置来配置Spring Security,并定制了AuthenticationProvider和UserDetailsService,以便在http://forum.Spring.io/forum/spring-projects/Security/95715-extrate-login-fields之后添加额外的登录字段 我很难通过使用java配置将这两个定制类添加到Spring S
-
问题内容: 我正在使用Spring Security保护Struts2 Web应用程序。由于项目的限制,我使用的是Spring Security 2.06。 我的团队构建了一个自定义用户管理API,该API在输入用户名和密码参数后对用户进行身份验证,并返回一个自定义用户对象,其中包含角色列表以及其他属性,如电子邮件,名称等。 据我了解,典型的Spring Security用例使用默认的UserDe
-
自定义角色:只有团队负责人、团队管理员和地图管理员三个角色可以创建自定义角色,可以自定义角色的名称和权限。 自定义角色分为: 自定义地图角色:对地图级别进行权限设置 自定义图层角色:对图层级别进行权限设置 自定义子图层角色:对子图层级别进行权限设置 自定义业务流角色:对业务流层级进行权限设置 1.创建自定义角色: 以地图角色创建为例,点击“创建新角色”,出现创建创建新角色的弹框。点击“地图角色”。
-
我想播放一些音量lvl调整到耳朵aka的音频。“电话呼叫模式”。为此,我使用了著名的和普遍建议的 问题是,我并不总是在模式切换后播放音频,我必须等待,不能确定多长时间,甚至可能是几分钟。我做了一些循环日志记录和模式只要用户在我的应用程序中处于“电话通话模式”,就会在Android 9的一些摩托罗拉上保持,但在Pixel 3上,Android 12在6秒后模式会在没有播放任何内容时自动切换回。没有执
-
断然的: Spring Security 4似乎不再提供默认的login-Procage-url。我们现在必须在form-login中显式提供它,如下所示。 我有一个奇怪的行为组合,让我感到困惑。找到了很多教程和类似的问题,但没有一个完全像这样。我希望有人能帮忙。 短版本:重新显示登录页面-无论用户名/密码是好是坏,并且从不调用AuthenticationProvider(断点未触发)。 长版本: