6

我的要求是提供:

  1. 基于用户名密码的身份验证。
  2. 基于开放身份的身份验证
  3. 基于 URL 的身份验证(它是我们拥有的自定义 sso 实现)

在同一个项目中。

我试图将 Spring 安全性插入到现有项目中(为简单起见,代码被剥离):

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation=
    "http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">

    <http auto-config="false">
        <remember-me user-service-ref="rememberMeUserService" key="some custom key" /> <!-- TODO: Key made for testing reasons.... -->
        <intercept-url pattern='/mainApplication/Main screen.html' access="ROLE_ADMIN"/>
        <intercept-url pattern='/**' filters="none"/> <!-- Allow entry to login screen -->
        <openid-login authentication-failure-url="/Login.html?error=true" default-target-url="/mainApplication/Main screen.html" user-service-ref="openIdUserService"/>
        <form-login login-page="/Login.html" authentication-failure-url="/Login.html?error=true" always-use-default-target="true" default-target-url="/mainApplication/Main screen.html"/>
    </http>

    <beans:bean id="rememberMeUserService" class="mypackage.CustomUserService">
        <beans:property name="usersService" ref="usersService"></beans:property>
    </beans:bean>

    <!-- Common login shared entry-point for both Form and OpenID based logins -->    
    <beans:bean id="entryPoint" class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint">
        <beans:property name="loginFormUrl" value="/Login.html" />
    </beans:bean>
    <authentication-manager alias="authenticationManager"/>

    <beans:bean id="MyCustomAuthenticationProvider" class="mypackage.CustomAuthenticationProvider">
        <custom-authentication-provider />
        <beans:property name="usersService" ref="usersService"></beans:property>
    </beans:bean>

    <beans:bean id="openIdAuthenticationProvider" class="org.springframework.security.providers.openid.OpenIDAuthenticationProvider">
        <custom-authentication-provider />
        <beans:property name="userDetailsService" ref="openIdUserService"/>
    </beans:bean>

    <beans:bean id="openIdUserService" class="mypackage.OpenIDUserDetailsService">
        <beans:property name="usersService" ref="usersService"/>
    </beans:bean>

    <!-- Great, now i want to include SSO based sign on -->
    <!-- need to intercept a url of the form :   /myApp/customLogin/<key> where <key> is my token key   -->

</beans:beans>

如上所述,我需要跟踪表单的 url:/myApp/customLogin/12345 其中 1235 是我们最初使用的令牌密钥(为简单起见,代码被删除)

<servlet-mapping>
    <servlet-name>mySSOCapture</servlet-name>
    <url-pattern>/myApp/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/MyServlet</url-pattern>
</servlet-mapping>

我应该在这里做什么来启用 Spring Security 来帮助我管理第三个身份验证方案?

一个必然的问题是:我可以在同一个项目中有多个身份验证提供程序吗?如果是,那么它们如何与不同的功能相匹配(例如,一种提供基于 url 的身份验证,一种提供匿名身份验证等)?

4

3 回答 3

1

无法直接回答这个问题,但来自身份管理部门的“有用提示”:并非所有身份验证系统都具有相同的信任值 - 平等对待它们严重违反了良好的安全设计。

我希望这对您的设计有所帮助...

于 2009-11-06T02:15:56.250 回答
1

可能有几种方法可以做到这一点。有一些功能非常相似,即Pre-authentication。这是一个很好的例子,您可以添加一个自定义过滤器来验证用户,然后框架的其余部分应该接管。

anAuthenticationProvider所做的是检查Authentication由先前过滤器加载到会话中的对象。您可以向身份验证管理器注册任意数量的身份验证提供程序(它只是Authentication通过所有身份验证管理器运行对象),但您必须设法在其中获取一些过滤器来处理您的身份验证方案并填充Authentication对象。如果您希望此过滤器也与用户交互(即显示登录表单或其他内容),它可能会干扰其他过滤器。在这种情况下,您可以使用单独的过滤器链,但这听起来不像您的情况是必要的。

于 2009-11-06T13:59:54.670 回答
1

好的,这是解决方案:

<beans:bean id="mySsoFilter" class="somePackage.MySsoProcessingFilter">
    <custom-filter after="CAS_PROCESSING_FILTER"/> <!-- Just a reference Point-->
    <beans:property name="authenticationManager" ref="authenticationManager"/>
    <beans:property name="defaultTargetUrl" value='/mainApplication/Main screen.html' />
    <beans:property name="authenticationFailureUrl" value="/Login.html?error=true"/>
</beans:bean>

希望这可以帮助有需要的人...

于 2009-11-09T09:43:32.383 回答