Comment recharger les autorités de l'utilisateur mise à jour avec Ressort de Sécurité

Je suis en train de faire une application avec l'authentification par OpenID à l'aide de Spring Security.
Lorsque l'utilisateur est connecté, certaines autorités sont chargées dans sa session.

J'ai de l'Utilisateur avec le plein droit de modifier les autorités (révoquer, ajouter des rôles) des autres utilisateurs. Ma question est, comment faire pour changer de session de l'Utilisateur, les autorités de façon dynamique ? (ne peut pas utiliser SecurityContextHolder parce que je veux changer une autre session Utilisateur).

Manière Simple : invalider la session de l'utilisateur, mais comment ?
Meilleure méthode : actualisation de la session de l'utilisateur avec les nouvelles autorités, mais comment ?

InformationsquelleAutor Aure77 | 2012-03-28

47

Si vous avez besoin de mettre à jour dynamiquement un utilisateur connecté autorités (lorsque ceux-ci ont changé, pour quelque raison que ce soit), sans avoir à fermer et ouvrir une session de cours, vous avez juste besoin de réinitialiser le Authentication objet (jeton de sécurité) au Printemps SecurityContextHolder.

Exemple:
```
Authentication auth = SecurityContextHolder.getContext().getAuthentication();

List<GrantedAuthority> updatedAuthorities = new ArrayList<>(auth.getAuthorities());
updatedAuthorities.add(...); //add your role here [e.g., new SimpleGrantedAuthority("ROLE_NEW_ROLE")]

Authentication newAuth = new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(), updatedAuthorities);

SecurityContextHolder.getContext().setAuthentication(newAuth);
```
- Eh bien, il a presque fonctionné pour moi. Cette "auth" variable est préoccupé de l'utilisateur connecté (c'est moi). Si je suis connecté en tant que "x" et je tiens à les révoquer "y" des autorités, comment puis-je obtenir de l'Authentification de l'objet de cet utilisateur spécifique?
- Cela ne fonctionne que pour l'utilisateur actuel. Comment réaliser ce pour un autre utilisateur?
InformationsquelleAutor leo
12

Merci, beaucoup m'aider ! Avec SessionRegistry, je peux utiliser getAllPrincipals() à comparer à l'utilisateur de modifier avec le courant d'utilisateurs actifs dans les sessions. Si une session existe pas, je peut invalider sa session à l'aide de : expireNow() (à partir de SessionInformation) à force de ré-authentification.

Mais je ne comprends pas l'utilité de securityContextPersistenceFilter ?

EDIT :
```
//user object = User currently updated
//invalidate user session
List<Object> loggedUsers = sessionRegistry.getAllPrincipals();
for (Object principal : loggedUsers) {
    if(principal instanceof User) {
        final User loggedUser = (User) principal;
        if(user.getUsername().equals(loggedUser.getUsername())) {
            List<SessionInformation> sessionsInfo = sessionRegistry.getAllSessions(principal, false);
            if(null != sessionsInfo && sessionsInfo.size() > 0) {
                for (SessionInformation sessionInformation : sessionsInfo) {
                    LOGGER.info("Exprire now :" + sessionInformation.getSessionId());
                    sessionInformation.expireNow();
                    sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
                    //User is not forced to re-logging
                }
            }
        }
    }
} 
```
- securityContextPersistenceFilter par défaut sera mis SecurityContext en HttpSession dans le servlet de l'environnement. Comme vous avez déjà out-of-the-box de printemps SessionRegistry vous n'avez pas besoin de personnaliser ce filtre.
- Je suis dans le servlet de l'environnement, quelle est l'utilité de la personnalisation securityContextPersistenceFilter ?
- les différents cas possibles, par exemple HttpSessions sont désactivés et vous ne voulez pas thread-local de stockage. Vous pouvez ainsi utiliser votre propre mise en œuvre de securityContextRepository. Si HttpSession de stockage en fonction de vos besoins, alors il n'y a aucune utilité.
- Je suis en utilisant le code ci-dessus (voir EDIT) pour invalider la session de l'utilisateur. Mais j'ai un problème, l'utilisateur n'est pas obligé de se ré-enregistrement... je pense que le SecurityContextHolder n'est pas autorisé à cet Utilisateur. Comment puis-je faire cela ?
- Je ne suis pas familier avec le printemps SessionRegistry API. Si elle offre un accès direct à HttpSession vous pouvez ensuite vider SecurityContext manuellement. Ou vous pouvez utiliser votre propre séance d'implémentation de registre, comme dans ma réponse.
- SecurityContext est pour l'utilisateur actuellement connecté, mais si je veux déconnexion anohter de l'utilisateur, comment puis-je l'utiliser (pour invalider sa session) ?
- SecurityContext pour chaque utilisateur dans chaque session de l'utilisateur, voir les détails ici. Si vous pouvez accéder à d'autres de l'utilisateur de la session par l'intermédiaire du registre, puis vous pouvez faire ce que vous voulez avec elle.
InformationsquelleAutor Aure77
7

Le point essentiel, vous devriez être en mesure d'accéder à des utilisateurs SecurityContexts.

Si vous êtes dans le servlet de l'environnement et sont à l'aide de HttpSession comme securityContextRepository dans votre securityContextPersistenceFilter, alors il peut être fait avec le printemps SessionRegistry. Pour forcer l'utilisateur à se ré-auth (il doit être mieux que le silence des autorisations de révocation) invalider son HttpSession. N'oubliez pas d'ajouter HttpSessionEventPublisher à web.xml
```
<listener>
    <listener-class>
        org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>
```
Si vous utilisez locale de thread securityContextRepository, alors vous devriez ajouter un filtre personnalisé pour springSecurityFilterChain pour gérer SecurityContexts de registre. Pour ce faire, vous devez l'utiliser plain-bean springSecurityFilterChain de configuration (sans security espace de noms raccourcis). Avec la plaine-bean config avec des filtres personnalisés, vous aurez un contrôle complet sur l'authentification et l'autorisation.

Quelques liens, ils ne permettent pas de résoudre exactement le problème (pas de OpenID), mais peut être utile:
- NIH session de registre pour l'environnement de servlet
- c'est clair bean spring config exemple de travail
- la vraie vie de plain-bean spring config pour X. 509 auth, vous pouvez commencer avec et de le modifier pour utiliser OpenID au lieu de X. 509.
InformationsquelleAutor alexkasko

Si quelqu'un est toujours à la recherche dans la façon de mettre à jour les autorités d'un autre utilisateur sans forcer l'utilisateur à se ré-authentifier, vous pouvez essayer d'ajouter un intercepteur qui recharge l'authentification. Ce sera assurez-vous que vos autorités sont toujours à jour.

Cependant, pour des raisons extra, intercepteur, il y aura un certain impact sur les performances (par exemple, si vous obtenez vos rôles d'utilisateur de votre base de données, il va être interrogé pour chaque requête HTTP).

@Component
public class VerifyAccessInterceptor implements HandlerInterceptor {

    //...

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        Set<GrantedAuthority> authorities = new HashSet<>();
        if (auth.isAuthenticated()) {
            authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        }

        User userFromDatabase = getUserFromDatabase(auth.getName());
        if (userFromDatabase != null) {
            //add whatever authorities you want here
            authorities.add(new SimpleGrantedAuthority("...")); 
        }

        Authentication newAuth = null;

        if (auth.getClass() == OAuth2AuthenticationToken.class) {
            OAuth2User principal = ((OAuth2AuthenticationToken)auth).getPrincipal();
            if (principal != null) {
                newAuth = new OAuth2AuthenticationToken(principal, authorities,(((OAuth2AuthenticationToken)auth).getAuthorizedClientRegistrationId()));
            }
        }

        SecurityContextHolder.getContext().setAuthentication(newAuth);
        return true;
    }

}

Cette implémentation utilise OAuth2 (OAuth2AuthenticationToken), mais vous pouvez utiliser UsernamePasswordAuthenticationToken à la place.

Et maintenant, pour ajouter votre intercepteur de configuration:

@Configuration
public class WebConfiguration extends WebMvcConfigurationSupport {

    @Autowired
    private VerifyAccessInterceptor verifyAccessInterceptor;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(verifyAccessInterceptor).addPathPatterns("/**");
    }

}

J'ai aussi fait un article à ce sujet.

InformationsquelleAutor TwiN

- Je utiliser la réponse donné par deux, mais je créer une variable de contrôle (users_to_update_roles) afin de réduire l'impact sur les performances.

@Component
public class RoleCheckInterceptor implements HandlerInterceptor {
public static ArrayList<String> update_role = new ArrayList<>();
@Autowired
private IUser iuser;
public static Set<String> users_to_update_roles = new HashSet<>();
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
try {
CurrentUser current = (CurrentUser) auth.getPrincipal();
String username = current.getUser().getUsername();
if (users_to_update_roles.contains(username)) {
updateRoles(auth, current);
users_to_update_roles.remove(username);
}
} catch (Exception e) {
//TODO: handle exception
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
}
private void updateRoles(Authentication auth, CurrentUser current) {
User findOne = iuser.findOne(current.getUser().getUsername());
List<GrantedAuthority> updatedAuthorities = new ArrayList<>();
for (Role role : findOne.getRoles()) {
updatedAuthorities.add(new SimpleGrantedAuthority(role.name()));
}
Authentication newAuth = new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(),
updatedAuthorities);
SecurityContextHolder.getContext().setAuthentication(newAuth);
}
}

et dans mon contrôleur, je l'ajoute à l'utilisateur qu'ont-ils de rôle mis à jour

    public ModelAndView roleSave(@PathVariable long numero_documento, Funcionario funcionario) {
ModelAndView modelAndView = new ModelAndView("funcionario/role");
Set<Role> roles = funcionario.getPessoa().getUser().getRoles();
funcionario = funcionarioService.funcionarioNumero_documento(numero_documento);
funcionario.getPessoa().getUser().setRoles(roles);
iUser.save(funcionario.getPessoa().getUser());
RoleCheckInterceptor.users_to_update_roles.add(funcionario.getPessoa().getUser().getUsername());
modelAndView.addObject("funcionario", funcionario);
modelAndView.addObject("sucess", "Permissões modificadas");
return modelAndView;
}

J'aime bien ton idée, mais il y a une course à condition sur users_to_update_roles. La synchronisation sur l'Ensemble (ce qui devrait être un ConcurrentHashSet en cas d'accès de ce genre) mais présente un problème différent.

InformationsquelleAutor Hasler Choo

J'ai un cas très spécifique de ci-dessus, j'utilise Redis pour suivre la session de l'utilisateur avec https://github.com/spring-projects/spring-session. Alors quand l'admin ajoute un certain Rôle à l'utilisateur, je trouve session de l'utilisateur dans le Redis et le remplacer principal et authorities puis enregistrer la session.

public void updateUserRoles(String username, Set<GrantedAuthority> newRoles) {
if (sessionRepository instanceof FindByIndexNameSessionRepository) {
Map<String, org.springframework.session.Session> map =
((FindByIndexNameSessionRepository<org.springframework.session.Session>) sessionRepository)
.findByPrincipalName(username);
for (org.springframework.session.Session session : map.values()) {
if (!session.isExpired()) {
SecurityContext securityContext = session.getAttribute(SPRING_SECURITY_CONTEXT_KEY);
Authentication authentication = securityContext.getAuthentication();
if (authentication instanceof UsernamePasswordAuthenticationToken) {
Collection<GrantedAuthority> authorities = new HashSet<>(authentication.getAuthorities());
//1. Update of authorities
authorities.addAll(newRoles);
Object principalToUpdate = authentication.getPrincipal();
if (principalToUpdate instanceof User) {
//2. Update of principal: Your User probably extends UserDetails so call here method that update roles to allow
//org.springframework.security.core.userdetails.UserDetails.getAuthorities return updated 
//Set of GrantedAuthority
securityContext
.setAuthentication(new UsernamePasswordAuthenticationToken(principalToUpdate, authentication
.getCredentials(), authorities));
session.setAttribute(SPRING_SECURITY_CONTEXT_KEY, securityContext);
sessionRepository.save(session);
}
}
}
}
}
}

InformationsquelleAutor snieguu

Vous devez vous connecter pour publier un commentaire.