java - KerberosAuthenticationProvider 与 KerberosServiceAuthenticationProvider

Question

嗬嗬！

我在我的项目中使用带有 Kerberos 的 Spring Security 5 进行 SSO 身份验证。

在WebSecurityConfig我注册两个AuthenticationProvider

@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(msfUserDetailsService).passwordEncoder(passwordEncoder());
        assertThatUnlimitedCryptographyEnabled();

        // Two providers
        auth.authenticationProvider(kerberosAuthenticationProvider());
        auth.authenticationProvider(kerberosServiceAuthenticationProvider());
}

如以下两个示例所示，这似乎是其完成方式：

• https://docs.spring.io/spring-security-kerberos/docs/current/reference/html/ssk-spnego.html
• https://www.ebayinc.com/stories/blogs/tech/customizing-spring-security-with-multiple-authentications/

但是我不明白为什么我需要它们。在身份验证期间KerberosServiceAuthenticationProvider，这是验证 Kerberos 票证的那个（请参阅JavaDoc）

然而，这是KerberosAuthenticationProvider为了什么？在这种情况下，JavaDoc只是说

用于 kerberos 的 AuthenticationProvider。

Answer 1

正如您所说：KerberosServiceAuthenticationProvider用于验证 SSO 身份验证中的票证，而KerberosAuthenticationProvider用于基于表单的身份验证，通常在客户端不支持 SSO 时用作后备（例如，Linux 系统上的浏览器）。这种类型的身份验证由以下UsernamePasswordAuthenticationFilter应用处理WebSecurityConfigurerAdapter：

public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity httpSecurity) throws Exception {
     httpSecurity
      ...
      .formLogin()
  ...
  }
  ...
}

如果您不使用表单登录，则可以省略此提供程序，如注释中指出的那样。