身份验证后存储附加信息 [Spring]

Question

我正在开发具有以下要求的 Web 应用程序：

1. 允许用户登录
2. 在服务器端，用户通过第 3 方 REST Web 服务进行身份验证。
3. 如果身份验证成功，REST Web 服务将return 一个唯一的令牌和密钥。
4. 对 REST Web 服务的任何后续请求都必须包含在第 3 点（上文）中收到的令牌。

我正在为 Web 应用程序使用 spring-mvc 和 spring 安全性。 因此，我得到了一个有效的解决方案，但是我是 spring 的新手，不确定该解决方案是否正确。

如果出现以下情况，有人可以提供建议吗：

1. 解决方案是否正确实施？
2. 该解决方案是否会以任何方式影响性能？
3. 该解决方案是否会产生任何安全漏洞？

谢谢 :)

---

解决方案:

1. 我创建了一个 MyUser 对象，它将存储从 REST 服务收到的附加信息。

   public class MyUser implements Serializable {
   
       private static final long serialVersionUID = 5047510412099091708L;
       private String RestToken;
       private String RestKey;
   
       public String getRestToken() {
           return RestToken;
       }
       public void setRestToken(String restToken) {
           RestToken = restToken;
       }
       public String getRestKey() {
           return RestKey;
       }
       public void setRestKey(String restKey) {
           RestKey = restKey;
       }
   }
   

2. 然后我创建了一个扩展 UsernamePasswordAuthenticationToken 的 MyAuthenticationToken 对象。该对象将在 CustomAuthenticationProvider 中使用（下面的第 3 点）。

   public class MyAuthenticationToken extends UsernamePasswordAuthenticationToken {
   
           private static final long serialVersionUID = 7425814465946838862L;
           private MyUser myUser;
   
           public MyAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities, MyUser myUser){
   
               super(principal, credentials, authorities);
               this.myUser = myUser;   
           }
   
           public MyUser getMyUser() {
               return myUser;
           }
   
           public void setMyUser(MyUser myUser) {
               this.myUser = myUser;
           }
       }
   

3. 我创建了一个自定义身份验证提供程序，它将调用 REST 服务进行身份验证，然后将附加信息存储在 myUser 和 myAuthenticationToken 对象中。

   public class CustomAuthenticationProvider implements AuthenticationProvider {
   
           @Override
           public Authentication authenticate (Authentication authentication) {
   
               MyUser myUser = new MyUser();
               MyAuthenticationToken authenticationToken = null;
               String name = authentication.getName();
               String password = authentication.getCredentials().toString();
   
               //Just an example. This section will connect to a web service in order to authenticate the client
               if (name.equals("justh") && password.equals("123456")) {
   
                   //Set the Token and Key Received from the REST WebService
                   myUser.setRestKey("RestKey");
                   myUser.setRestToken("RestToken");
   
                   List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
                   grantedAuths.add(new SimpleGrantedAuthority("ROLE_USER"));
   
                   authenticationToken = new MyAuthenticationToken(name, password, grantedAuths, myUser);
   
                   return authenticationToken;
               } else {
                   return null;
               }
           }
   

4. 终于，我可以访问存储在我的控制器中的数据了

   public ModelAndView adminPage(Authentication authentication) {
   
           MyUser user = null;
           //Get the additional data stored
           if(authentication instanceof MyAuthenticationToken){
               user = ((MyAuthenticationToken)authentication).getMyUser();
           }
   
           ModelAndView model = new ModelAndView();
           model.addObject("title", "Spring Security Hello World");
           model.addObject("message", "This is protected page - Admin Page!" + authentication.getName() + user.getRestKey() + user.getRestToken());
           model.setViewName("admin");
           return model;
       }
   

Answer 1

您的方法是正确的。只要您的要求超出简单的用户名密码身份验证流程，您就应该实施自定义 AuthenticationManager 和 Authentication。

但不要忘记遵守AuthenticationManager的接口契约。

我在我的 webmailer 中做了一些非常相似的事情，用于使用 javax.mail 对 smtp/imap 服务器进行身份验证并且它工作完美。