Apache CXF 身份验证 + spring 安全性
Apache CXF authentication + spring security
我想在我的 Apache-CXF-based SOAP 应用程序中使用 @RolesAllowed(或类似的)注释。但我不明白如何为此配置 Spring 安全性。
我想从 SOAP 消息中的 XML header 进行身份验证。
端点安全配置:
Map<String, Object> props = new HashMap<>();
props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
endpoint.getInInterceptors().add(new WSS4JInInterceptor(props));
endpoint.getProperties().put("ws-security.validate.token", false);
endpoint.getProperties().put("ws-security.ut.no-callbacks", true);
endpoint.getProperties().put("ws-security.ut.validator",
CredentialValidator.class.getName());
也尝试过使用 CallbackHandler。相同的结果。
验证者:
public class CredentialValidator extends UsernameTokenValidator {
@Override
public Credential validate(Credential credential, RequestData data)
throws WSSecurityException {
String userName = credential.getUsernametoken().getName();
String password = credential.getUsernametoken().getPassword();
List<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority(Role.USER_ROLE));
PreAuthenticatedAuthenticationToken token = new
PreAuthenticatedAuthenticationToken(
userName,
password,
authorities);
SecurityContextHolder.getContext().setAuthentication(token);
}
}
Spring 安全配置:
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.POST, "/services/**")
.permitAll()
;
}
}
如果我在配置中使用 permitAll() 则所有请求都会通过,但注释不起作用。如果我使用 authenticated() 那么我在验证器工作之前得到 "access denied"。
我在我的@WebService 接口中使用@AllowedRoles 注释。
您可以尝试使用 TokenFilter,而不是使用 CredentialValidator。
您的 Spring 安全配置应如下所示:
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.POST, "/services/**")
.authenticated()
.addFilterBefore(tokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
}
@Bean
public TokenFilter tokenFilterBean() {
return new TokenFilter();
}
}
您可以在我的仓库中找到完整的工作项目:
repo
我想在我的 Apache-CXF-based SOAP 应用程序中使用 @RolesAllowed(或类似的)注释。但我不明白如何为此配置 Spring 安全性。
我想从 SOAP 消息中的 XML header 进行身份验证。
端点安全配置:
Map<String, Object> props = new HashMap<>();
props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
endpoint.getInInterceptors().add(new WSS4JInInterceptor(props));
endpoint.getProperties().put("ws-security.validate.token", false);
endpoint.getProperties().put("ws-security.ut.no-callbacks", true);
endpoint.getProperties().put("ws-security.ut.validator",
CredentialValidator.class.getName());
也尝试过使用 CallbackHandler。相同的结果。
验证者:
public class CredentialValidator extends UsernameTokenValidator {
@Override
public Credential validate(Credential credential, RequestData data)
throws WSSecurityException {
String userName = credential.getUsernametoken().getName();
String password = credential.getUsernametoken().getPassword();
List<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority(Role.USER_ROLE));
PreAuthenticatedAuthenticationToken token = new
PreAuthenticatedAuthenticationToken(
userName,
password,
authorities);
SecurityContextHolder.getContext().setAuthentication(token);
}
}
Spring 安全配置:
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.POST, "/services/**")
.permitAll()
;
}
}
如果我在配置中使用 permitAll() 则所有请求都会通过,但注释不起作用。如果我使用 authenticated() 那么我在验证器工作之前得到 "access denied"。
我在我的@WebService 接口中使用@AllowedRoles 注释。
您可以尝试使用 TokenFilter,而不是使用 CredentialValidator。 您的 Spring 安全配置应如下所示:
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.POST, "/services/**")
.authenticated()
.addFilterBefore(tokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
}
@Bean
public TokenFilter tokenFilterBean() {
return new TokenFilter();
}
}
您可以在我的仓库中找到完整的工作项目: repo