2

我正在使用 Spring MVC 网站并通过 LDAP 添加 Active Directory 身份验证。该公司不想使用 AD 权限来映射网站的权限,我们有一个列出每个用户权限的数据库,所以我试图连接到该数据库,获取权限,并将它们添加到用户的身份验证令牌中。

当我第一次开始时,我正在使用 a 映射 AD 用户组的权限,GrantedAuthoritiesMapper并且我已经开始工作了。它看起来像这样:

public class ActiveDirectoryGrantedAuthoritiesMapper implements GrantedAuthoritiesMapper {

    private static final String ROLE_ADMIN = "adminUserGroup";

    public ActiveDirectoryGrantedAuthoritiesMapper()
    { }

    public Collection<? extends GrantedAuthority> mapAuthorities(
            final Collection<? extends GrantedAuthority> authorities)
    {

        Set<CustomAuthority> roles = EnumSet.noneOf(CustomAuthority.class);

        for (GrantedAuthority authority : authorities)
        {
            if (ROLE_ADMIN.equals(authority.getAuthority()))
            {
                roles.add(CustomAuthority.ROLE_ADMIN);
            }
            //Default role for all users.
            roles.add(CustomAuthority.ROLE_EMPLOYEE);
        }
        return roles;
    }
}

现在我正在尝试将其转换为查询我们的数据库以获得权限。我离开了GrantedAuthoritiesMapper这样做有两个原因。首先,我没有使用来自 LDAP 的权限,那么为什么还要拦截它们呢?并且还因为我不知道如何在GrantedAuthoritiesMapper. 我尝试使用,SecurityContextNullPointerException每当我尝试打电话时它都会给我一个context.getAuthentication().getName()假设,因为用户尚未完全通过身份验证。

所以我转而使用AuthenticationSuccessHandler. 我试图保持逻辑几乎相同。我正在尝试将角色添加到用户的身份验证令牌中,authentication.getAuthorities().add(...);但我收到了 my CustomAuthoritydoesn't extend的错误GrantedAuthority。它没有扩展它,但它实现了接口。我想知道这是否是因为它是一个枚举,所以我将它更改为一个类,但我仍然收到错误。AuthenticationSuccessHandler这是我现在拥有的自定义代码:

public class CustomAuthoritiesMapper implements AuthenticationSuccessHandler 
{
    private CustomPermissionDAO permissionsDao = new CustomPermissionDAO();

    private static final String ROLE_ADMIN = "ADMIN_ACCOUNT";

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException, ServletException
    {
        List<GrantedAuthority> roles = new ArrayList<GrantedAuthority>();

        List<DatabasePermission> permissionsForUser = permissionsDao.getPermissionByUsername(authentication.getName());

        for (DatabasePermission permission : permissionsForUser)
        {
            if (ROLE_ADMIN.equals( permission.getTag() ))
            {
                roles.add(new CustomAuthority("ROLE_ADMIN"));
            }
            //Default role for all users.
            roles.add(new DashboardAuthority("ROLE_EMPLOYEE"));
        }
        for(GrantedAuthority auth : roles)
        {
            authentication.getAuthorities().add(auth);
        }
    }
}

我已经尝试了几乎所有我能想到的所有组合。我已将其更改List<GrantedAuthority>为 CustomAuthority 对象列表。我试过使用addAll(roles)而不是添加单个的..每次我得到同样的错误的一些变化:

Collection 类型中的方法 add(capture#1-of ? extends GrantedAuthority) 不适用于参数(GrantedAuthority)

和 CustomAuthority 代码:

public class CustomAuthority implements GrantedAuthority
{
    private String name;

    public CustomAuthority(String name)
    {
        this.name = name;
    }

    public String getAuthority() {
        return name;
    }
}

任何帮助将非常感激。

从查看“相关问题”来看,authentication.getName() 在这里可能不起作用,但我想弄清楚为什么我不能在解决该问题之前将我想要添加到用户权限的权限添加到用户的权限中。

4

2 回答 2

2

这不是您原始问题的回答。这是一个关于如何以另一种方式完成的命题。

对我来说看起来不寻常的是,您将其AuthenticationSuccessHandler用于应该由AuthenticationManagerand完成的事情AuthenticationProviders。想象一下两个AuthenticationProviders,一个用于 LDAP,一个用于 DB。问题是,如果您通过默认组合它们,AuthenticationManager那么只会使用第一个提供程序。您可以准备一个AuthenticationManager逻辑略有不同的自定义:

  • 它知道两个提供者
  • 它以正确的顺序调用它们
  • 它将来自两个提供者的两个身份验证结果合并为一个全局结果,从 LDAP 获取用户凭据并从 DB 获取权限。

缺点:想要添加第三个身份验证提供程序的新开发人员可能会对 custom 感到惊讶AuthenticationManager

优点:我认为代码将适合在正确的地方。

希望这可以帮助。

于 2013-07-15T08:50:37.597 回答
1

您无法从 SecurityContext 获取当前用户名的原因是它尚未填充(您仍在努力找出要包含在其中的角色)。

一种选择是使用 LdapAuthenticationProvider 和 LdapAuthoritiesPopulator ,如 FAQ 中所述。这是FAQ中的示例

public class MyAuthoritiesPopulator implements LdapAuthoritiesPopulator {
    @Autowired
    JdbcTemplate template;

    public List<GrantedAuthority> getGrantedAuthorities(DirContextOperations userData, String username) {
        List<GrantedAuthority> = template.query("select role from roles where username = ?",
                                                   new String[] {username},
                                                   new RowMapper<GrantedAuthority>() {
            /**
             *  We're assuming here that you're using the standard convention of using the role
             *  prefix "ROLE_" to mark attributes which are supported by Spring Security's RoleVoter.
             */
            public GrantedAuthority mapRow(ResultSet rs, int rowNum) throws SQLException {
                return new GrantedAuthorityImpl("ROLE_" + rs.getString(1));
            }
        });
    }
}

这应该对您有用,因为它会为您传递用户名。使用该用户名进行查询以获取用户的角色。

如常见问题解答中所述,您需要使用自定义 LdapAuthoritiesPopulator 将其连接到 LdapAuthenticationProvider。

另一种选择是注入自定义 UserDetailsContextMapper。默认值为 LdapUserDetailsMapper,它应该让您了解如何实现逻辑。

于 2013-07-12T22:05:30.490 回答