使用多个 AuthenticationProvider 时如何从 PreAuthenticatedAuthenticationProvider 重定向 UsernameNotFoundException?
How to redirect UsernameNotFoundException from PreAuthenticatedAuthenticationProvider when using multiple AuthenticationProviders?
使用 Spring Security 4.02,任何人都可以提供一些提示,告诉我如何在使用多个 AuthenticationProviders 时处理来自 PreAuthenticatedAuthenticationProvider 的 UsernameNotFoundException 以便经过身份验证的请求,正确的 header,但未经授权,被发送到特定的 URL 而不是 forms-login 页面?
让我进一步解释一下我在访问受代理背后的 SSO 保护的 Web 应用程序时试图完成的工作。并非所有通过 SSO 身份验证的用户都可以访问此应用程序。所以我需要考虑 3 种访问场景:
- 经过身份验证的用户(header 存在)已获得授权(username/roles 存在于应用程序的数据库中)
- 经过身份验证的用户(header 存在)未经授权(username/roles 不 存在于应用程序的数据库中)
- 未经身份验证的用户 username/roles 出现在应用程序的数据库中
访问网站时的动作应该是:
- authenticated/authorized 用户直接前往目标 URL
- authenticated/unauthorized 用户被重定向到 error/info 页面
- 未经身份验证的用户被重定向到 forms-login 页面进行身份验证
根据我当前的配置,方案 1 和 3 似乎可以正常工作。对于场景 2,我尝试将 RequestHeaderAuthenticationFilter#setExceptionIfHeaderMissing 设置为 true 和 false。
如果 setExceptionIfHeaderMissing=false,authenticated/unauthorized 请求由 ExceptionTranslationFilter 处理,其中抛出 AccessDeniedException 并将用户重定向到 forms-login 页面。
如果 setExceptionIfHeaderMissing=true,authenticated/unauthorized 请求遇到来自 AbstractPreAuthenticatedProcessingFilter.doAuthenticate 的 PreAuthenticatedCredentialsNotFoundException 并返回 HTTP 500。
因此,我反复阅读了 Spring 安全参考和 api 文档,并搜索了网络,但还是不太明白我需要做什么。我想我需要以某种方式启用某种过滤器或处理程序来使用重定向响应来捕获 PreAuthenticatedCredentialsNotFoundException 。但我似乎无法理解如何使用所有可用的 spring 工具来实现它。有人可以提供一些细节吗?提前致谢!!
这是我的配置:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private static final String AUTHENTICATION_HEADER_NAME = "PKE_SUBJECT";
@Autowired
CustomUserDetailsServiceImpl customUserDetailsServiceImpl;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(preAuthenticatedAuthenticationProvider());
auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
auth.userDetailsService(customUserDetailsServiceImpl);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().and()
.authorizeRequests()
.antMatchers("/javax.faces.resource/**", "/resources/**", "/templates/**", "/public/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/public/welcome.xhtml")
.and()
.addFilter(requestHeaderAuthenticationFilter());
}
@Bean PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider() throws Exception {
PreAuthenticatedAuthenticationProvider provider = new PreAuthenticatedAuthenticationProvider();
provider.setPreAuthenticatedUserDetailsService(userDetailsServiceWrapper());
return provider;
}
@Bean
public RequestHeaderAuthenticationFilter requestHeaderAuthenticationFilter() throws Exception {
RequestHeaderAuthenticationFilter filter = new RequestHeaderAuthenticationFilter();
filter.setPrincipalRequestHeader(AUTHENTICATION_HEADER_NAME);
filter.setAuthenticationManager(authenticationManagerBean());
filter.setExceptionIfHeaderMissing(true);
return filter;
}
@Bean
public UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken>
userDetailsServiceWrapper() throws Exception {
UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken> wrapper
= new UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken>();
wrapper.setUserDetailsService(customUserDetailsServiceImpl);
return wrapper;
}
}
我自定义的 UserDetailsService:
@Service("customUserDetailsService")
public class CustomUserDetailsServiceImpl implements UserDetailsService {
@Autowired
UserRepo userRepo;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
UserDetailDO userDetail = userRepo.getUserDetailById(username);
if(userDetail == null) {
throw new UsernameNotFoundException("user is not authorized for this application");
}
List<UserRoleDO> roles = userRepo.getRolesByUsername(username);
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
if(CollectionUtils.isNotEmpty(roles)) {
for(UserRoleDO role : roles) {
SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.getRole());
authorities.add(authority);
}
}
UserDetails user = new User(username, "N/A", authorities);
return user;
}
}
我意识到我不需要处理异常。我所做的是改变我的想法。我意识到即使 customUserDetailsService 没有找到用户名,该请求仍然是经过身份验证的请求,因为该请求被信任由 SSO 和代理服务器进行身份验证。
因此,我没有返回 UsernameNotFoundException,而是返回了带有空 Authorities 集合的 org.springframework.security.core.userdetails.User。并且由于默认情况下RequestHeaderAuthenticationFilter.setExceptionIfHeaderMissing = false,因此不会抛出任何异常,然后将经过身份验证的请求传递给访问过滤器,在该过滤器中确定该请求无权访问任何资源。因此,不是重定向到下一个身份验证过滤器(表单登录提供程序),而是返回 403 Access Denied http 状态,然后我可以覆盖它以重定向到用户友好的错误页面。
使用 Spring Security 4.02,任何人都可以提供一些提示,告诉我如何在使用多个 AuthenticationProviders 时处理来自 PreAuthenticatedAuthenticationProvider 的 UsernameNotFoundException 以便经过身份验证的请求,正确的 header,但未经授权,被发送到特定的 URL 而不是 forms-login 页面?
让我进一步解释一下我在访问受代理背后的 SSO 保护的 Web 应用程序时试图完成的工作。并非所有通过 SSO 身份验证的用户都可以访问此应用程序。所以我需要考虑 3 种访问场景:
- 经过身份验证的用户(header 存在)已获得授权(username/roles 存在于应用程序的数据库中)
- 经过身份验证的用户(header 存在)未经授权(username/roles 不 存在于应用程序的数据库中)
- 未经身份验证的用户 username/roles 出现在应用程序的数据库中
访问网站时的动作应该是:
- authenticated/authorized 用户直接前往目标 URL
- authenticated/unauthorized 用户被重定向到 error/info 页面
- 未经身份验证的用户被重定向到 forms-login 页面进行身份验证
根据我当前的配置,方案 1 和 3 似乎可以正常工作。对于场景 2,我尝试将 RequestHeaderAuthenticationFilter#setExceptionIfHeaderMissing 设置为 true 和 false。
如果 setExceptionIfHeaderMissing=false,authenticated/unauthorized 请求由 ExceptionTranslationFilter 处理,其中抛出 AccessDeniedException 并将用户重定向到 forms-login 页面。
如果 setExceptionIfHeaderMissing=true,authenticated/unauthorized 请求遇到来自 AbstractPreAuthenticatedProcessingFilter.doAuthenticate 的 PreAuthenticatedCredentialsNotFoundException 并返回 HTTP 500。
因此,我反复阅读了 Spring 安全参考和 api 文档,并搜索了网络,但还是不太明白我需要做什么。我想我需要以某种方式启用某种过滤器或处理程序来使用重定向响应来捕获 PreAuthenticatedCredentialsNotFoundException 。但我似乎无法理解如何使用所有可用的 spring 工具来实现它。有人可以提供一些细节吗?提前致谢!!
这是我的配置:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private static final String AUTHENTICATION_HEADER_NAME = "PKE_SUBJECT";
@Autowired
CustomUserDetailsServiceImpl customUserDetailsServiceImpl;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(preAuthenticatedAuthenticationProvider());
auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
auth.userDetailsService(customUserDetailsServiceImpl);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().and()
.authorizeRequests()
.antMatchers("/javax.faces.resource/**", "/resources/**", "/templates/**", "/public/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/public/welcome.xhtml")
.and()
.addFilter(requestHeaderAuthenticationFilter());
}
@Bean PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider() throws Exception {
PreAuthenticatedAuthenticationProvider provider = new PreAuthenticatedAuthenticationProvider();
provider.setPreAuthenticatedUserDetailsService(userDetailsServiceWrapper());
return provider;
}
@Bean
public RequestHeaderAuthenticationFilter requestHeaderAuthenticationFilter() throws Exception {
RequestHeaderAuthenticationFilter filter = new RequestHeaderAuthenticationFilter();
filter.setPrincipalRequestHeader(AUTHENTICATION_HEADER_NAME);
filter.setAuthenticationManager(authenticationManagerBean());
filter.setExceptionIfHeaderMissing(true);
return filter;
}
@Bean
public UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken>
userDetailsServiceWrapper() throws Exception {
UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken> wrapper
= new UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken>();
wrapper.setUserDetailsService(customUserDetailsServiceImpl);
return wrapper;
}
}
我自定义的 UserDetailsService:
@Service("customUserDetailsService")
public class CustomUserDetailsServiceImpl implements UserDetailsService {
@Autowired
UserRepo userRepo;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
UserDetailDO userDetail = userRepo.getUserDetailById(username);
if(userDetail == null) {
throw new UsernameNotFoundException("user is not authorized for this application");
}
List<UserRoleDO> roles = userRepo.getRolesByUsername(username);
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
if(CollectionUtils.isNotEmpty(roles)) {
for(UserRoleDO role : roles) {
SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.getRole());
authorities.add(authority);
}
}
UserDetails user = new User(username, "N/A", authorities);
return user;
}
}
我意识到我不需要处理异常。我所做的是改变我的想法。我意识到即使 customUserDetailsService 没有找到用户名,该请求仍然是经过身份验证的请求,因为该请求被信任由 SSO 和代理服务器进行身份验证。
因此,我没有返回 UsernameNotFoundException,而是返回了带有空 Authorities 集合的 org.springframework.security.core.userdetails.User。并且由于默认情况下RequestHeaderAuthenticationFilter.setExceptionIfHeaderMissing = false,因此不会抛出任何异常,然后将经过身份验证的请求传递给访问过滤器,在该过滤器中确定该请求无权访问任何资源。因此,不是重定向到下一个身份验证过滤器(表单登录提供程序),而是返回 403 Access Denied http 状态,然后我可以覆盖它以重定向到用户友好的错误页面。