使用 Spring Security 4.02,任何人都可以提供一些提示,说明我在使用多个时如何处理UsernameNotFoundException,以便将带有正确标头但未经授权的经过身份验证的请求发送到特定的 URL,而不是表单登录页面?PreAuthenticatedAuthenticationProviderAuthenticationProviders
让我进一步解释一下我在访问受 SSO 保护的代理背后的 Web 应用程序时要完成的工作。并非所有通过 SSO 身份验证的用户都可以访问此应用程序。所以我需要考虑3种访问场景:
- 经过身份验证的用户(存在标头)已授权(用户名/角色存在于应用程序的数据库中)
- 经过身份验证的用户(存在标头)未经授权(用户名/角色不存在于应用程序的数据库中)
- 应用程序数据库中存在用户名/角色的未经身份验证的用户
访问网站时的操作应该是:
- 经过身份验证/授权的用户直接进入目标 URL
- 经过身份验证/未经授权的用户被重定向到错误/信息页面
- 未经身份验证的用户被重定向到表单登录页面进行身份验证
使用我当前的配置,场景 1 和 3 似乎可以正常工作。对于场景 2,我尝试设置RequestHeaderAuthenticationFilter#setExceptionIfHeaderMissing为 true 和 false。
如果setExceptionIfHeaderMissing=false,已验证/未授权的请求由ExceptionTranslationFilterwhereAccessDeniedException被抛出,并且用户被重定向到表单登录页面。
如果setExceptionIfHeaderMissing=true,则遇到经过身份验证/未经授权的请求PreAuthenticatedCredentialsNotFoundException,AbstractPreAuthenticatedProcessingFilter.doAuthenticate并返回 HTTP 500。
因此,我已经阅读并重新阅读了 Spring Security 参考和 api 文档,并在网上搜索,只是无法完全弄清楚我需要做什么。我想我需要启用某种过滤器或处理程序来捕获PreAuthenticatedCredentialsNotFoundException重定向响应。但我似乎无法用所有可用的弹簧工具来实现它。有人可以提供一些细节吗?提前谢谢了!!
这是我的配置:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private static final String AUTHENTICATION_HEADER_NAME = "PKE_SUBJECT";
@Autowired
CustomUserDetailsServiceImpl customUserDetailsServiceImpl;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(preAuthenticatedAuthenticationProvider());
auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
auth.userDetailsService(customUserDetailsServiceImpl);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().and()
.authorizeRequests()
.antMatchers("/javax.faces.resource/**", "/resources/**", "/templates/**", "/public/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/public/welcome.xhtml")
.and()
.addFilter(requestHeaderAuthenticationFilter());
}
@Bean PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider() throws Exception {
PreAuthenticatedAuthenticationProvider provider = new PreAuthenticatedAuthenticationProvider();
provider.setPreAuthenticatedUserDetailsService(userDetailsServiceWrapper());
return provider;
}
@Bean
public RequestHeaderAuthenticationFilter requestHeaderAuthenticationFilter() throws Exception {
RequestHeaderAuthenticationFilter filter = new RequestHeaderAuthenticationFilter();
filter.setPrincipalRequestHeader(AUTHENTICATION_HEADER_NAME);
filter.setAuthenticationManager(authenticationManagerBean());
filter.setExceptionIfHeaderMissing(true);
return filter;
}
@Bean
public UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken>
userDetailsServiceWrapper() throws Exception {
UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken> wrapper
= new UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken>();
wrapper.setUserDetailsService(customUserDetailsServiceImpl);
return wrapper;
}
}
我自定义的 UserDetailsService:
@Service("customUserDetailsService")
public class CustomUserDetailsServiceImpl implements UserDetailsService {
@Autowired
UserRepo userRepo;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
UserDetailDO userDetail = userRepo.getUserDetailById(username);
if(userDetail == null) {
throw new UsernameNotFoundException("user is not authorized for this application");
}
List<UserRoleDO> roles = userRepo.getRolesByUsername(username);
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
if(CollectionUtils.isNotEmpty(roles)) {
for(UserRoleDO role : roles) {
SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.getRole());
authorities.add(authority);
}
}
UserDetails user = new User(username, "N/A", authorities);
return user;
}
}