spring-security - OAuth2 和基于会话的身份验证可以在 Spring Security 中共存吗？

Question

我有一个 Web 应用程序，它使用 Spring Security 进行基于会话的登录，使用用户名和密码身份验证以及以下安全应用程序上下文 xml。

<global-method-security pre-post-annotations="enabled" />
<http pattern="/css/**" security="none" />
<http pattern="/files/**" security="none" />

<http auto-config='true' entry-point-ref="authenticationEntryPoint" access-decision-manager-ref="accessDecisionManager">
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" method="OPTIONS" />
    <intercept-url pattern="/login/*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <intercept-url pattern="/login" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <intercept-url pattern="/**" access="REGISTERED" />
    <form-login login-page="/login" login-processing-url="/login_security_check" authentication-failure-handler-ref="xxxAuthenticationFailureHandler" authentication-success-handler-ref="xxxAuthenticationSuccessHandler" />
    <logout invalidate-session="true" logout-url="/data/logout" success-handler-ref="xxxLogoutSuccessHandler" />
    <remember-me key="xxxRem" />
</http>
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:property name="decisionVoters">
        <beans:list>
            <beans:ref bean="roleVoter" />
            <beans:ref bean="authenticatedVoter" />
        </beans:list>
    </beans:property>
</beans:bean>
<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
    <beans:property name="rolePrefix" value="" />
</beans:bean>
<beans:bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter">
</beans:bean>

<beans:bean id="userDetailsService" class="com.xxx.web.security.XXXUserDetailsService">
</beans:bean>

<authentication-manager alias="authenticationManager">
    <authentication-provider user-service-ref='userDetailsService'>
        <password-encoder hash="md5">
            <salt-source user-property="username" />
        </password-encoder>
    </authentication-provider>
</authentication-manager>

<beans:bean id="loginUrlAuthenticationEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
    <beans:constructor-arg value="/login" />
</beans:bean>
<beans:bean id="authenticationEntryPoint" class="org.springframework.security.web.authentication.DelegatingAuthenticationEntryPoint">
    <beans:property name="defaultEntryPoint" ref="loginUrlAuthenticationEntryPoint" />
</beans:bean>

现在我想为移动应用程序公开我的 Web 服务，所以我希望实现 OAuth2。我已经阅读了 github 上提供的示例。

我想知道这两个安全流如何共存，因为两个流的拦截 url 模式相同？

Answer 1

您需要更改access=""在 UI 和 OAuth 资源之间共享的资源的规则。这两者真正交叉并不是很常见，但我想对于简单的应用程序来说可能通过内容协商来实现。在 XML 中使用 SpEL 支持（或切换到 Java 配置）可能是最简单的。例子：

<intercept-url pattern="/** access="isFullyAuthenticated() or #oauth2.hasScope('read')"/>

对于另一种方法，您可以为端点创建别名并使用单独的过滤器链保护它们，一个用于令牌，一个用于基于 cookie 的身份验证。例子：

@RequestMapping({ "/user", "/api/user" })
public Map<String, String> user(Principal principal) {
    Map<String, String> map = new LinkedHashMap<>();
    map.put("name", principal.getName());
    return map;
}

其中“/user”被保护为普通资源（即WebSecurityConfigurerAdapter在Java配置中），而“/api/user”被单独配置（即ResourceServerConfigurerAdapter在Java配置中）。