Printemps de Sécurité et d'Authentification JSON

J'ai une application au printemps/spring-mvc totalement utilise JSON communications.
Maintenant, j'ai besoin d'authentifier mon application avec spring security 3 (qui utilise LdapAuthenticationProvider) via JSON.

La valeur par défaut printemps seurity soumettre le formulaire nécessite un POST comme ceci:

POST /myapp/j_spring_security_check HTTP/1.1
Accept-Encoding: gzip,deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 32
Host: 127.0.0.1:8080
Connection: Keep-Alive
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)

j_username=myUsername&j_password=myPass

Mais je veux passer un objet JSON comme ceci:

{"j_username":"myUsername","j_password":"myPass"}

J'ai lu beaucoup de post comme cette, cette autre ou cette une sans la chance, dans tous ajax cas est fait un POST comme ci-dessus.

Des Idées?

InformationsquelleAutor fl4l | 2013-10-21
  2. 24

    Selon Kevin suggestions,

    et après la lecture de ce messages: Un, Deux, la documentation Trois, et grâce à cette blog,

    J'ai écrit mes propres FORM_LOGIN_FILTER de gérer directement JSON avant l'authentification.

    Je colle mon code pour la communauté.

    L'objectif est de donner à la fois le classique navigateur POST de formulaire d'authentification avec JSON en fonction d'authentification. Aussi en JSON authentification je veux éviter de le rediriger vers loginSuccesful.htm

    En contexte:

    <security:http use-expressions="true" auto-config="false" entry-point-ref="http403EntryPoint">      
    <security:intercept-url pattern="/logs/**" access="denyAll" />
    <!-- ... All other intercept URL -->

    <security:custom-filter ref="CustomUsernamePasswordAuthenticationFilter" position="FORM_LOGIN_FILTER "/>
    <security:logout
            invalidate-session="true"
            logout-success-url="/LogoutSuccessful.htm"
            delete-cookies="true"
    />
    <security:session-management>
        <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
    </security:session-management>
    <security:access-denied-handler error-page="/accessDenied.htm" />
</security:http>

<bean id="CustomUsernamePasswordAuthenticationFilter" class="path.to.CustomUsernamePasswordAuthenticationFilter">
    <property name="authenticationManager" ref="authenticationManager" />
    <property name="authenticationSuccessHandler" ref="customSuccessHandler"/>
    <property name="authenticationFailureHandler" ref="failureHandler"/>
    <property name="filterProcessesUrl" value="/j_spring_security_check"/>
    <property name="usernameParameter" value="j_username"/>
    <property name="passwordParameter" value="j_password"/>
</bean>

<bean id="customSuccessHandler" class="path.to.CustomAuthenticationSuccessHandler">
    <property name="defaultTargetUrl" value="/login.htm" />
    <property name="targetUrlParameter" value="/LoginSuccessful.htm" />
</bean>

<bean id="failureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
    <property name="defaultFailureUrl" value="/login.htm" />
</bean>

<bean id="http403EntryPoint" class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />

    CustomUsernamePasswordAuthenticationfilter classe:

    public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter{
private String jsonUsername;
private String jsonPassword;
@Override
protected String obtainPassword(HttpServletRequest request) {
String password = null; 
if ("application/json".equals(request.getHeader("Content-Type"))) {
password = this.jsonPassword;
}else{
password = super.obtainPassword(request);
}
return password;
}
@Override
protected String obtainUsername(HttpServletRequest request){
String username = null;
if ("application/json".equals(request.getHeader("Content-Type"))) {
username = this.jsonUsername;
}else{
username = super.obtainUsername(request);
}
return username;
}
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response){
if ("application/json".equals(request.getHeader("Content-Type"))) {
try {
/*
* HttpServletRequest can be read only once
*/
StringBuffer sb = new StringBuffer();
String line = null;
BufferedReader reader = request.getReader();
while ((line = reader.readLine()) != null){
sb.append(line);
}
//json transformation
ObjectMapper mapper = new ObjectMapper();
LoginRequest loginRequest = mapper.readValue(sb.toString(), LoginRequest.class);
this.jsonUsername = loginRequest.getUsername();
this.jsonPassword = loginRequest.getPassword();
} catch (Exception e) {
e.printStackTrace();
}
}
return super.attemptAuthentication(request, response);
}
}

    CustomAuthenticationSuccessHandler classe:

    public class CustomAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
public void onAuthenticationSuccess(
HttpServletRequest request,
HttpServletResponse response,
Authentication auth
)throws IOException, ServletException {
if ("application/json".equals(request.getHeader("Content-Type"))) {
/*
* USED if you want to AVOID redirect to LoginSuccessful.htm in JSON authentication
*/         
response.getWriter().print("{\"responseCode\":\"SUCCESS\"}");
response.getWriter().flush();
} else {
super.onAuthenticationSuccess(request, response, auth);
}
}
}
    • Un grand merci pour le partage de la solution.
    • Ce n'est pas thred coffre-fort. Le filtre est un haricot. Vous ne devez pas stocker le nom d'utilisateur et le mot de passe en tant que membres je vous propose de l'enregistrer comme attribut de la requête ou non remplacer obtainUsername et obtainPassword. Se ma solution
    • Yup, j'ai essayé cette solution et eu exactement ce problème. En utilisant des attributs de la requête à la place des variables de membre résolu le problème.
    • Vous êtes dans la bonne direction, mais c'est une terrible mise en œuvre. Comme @oe.elvik mentionné, vous ne pouvez pas avoir les variables d'instance dans les filtres! Juste remplacer attemptAuthentication et de lire le nom d'utilisateur/mot de passe. Pas besoin d'utiliser obtainPassword/obtainUsername. Aussi, ne pas stocker le mot de passe sur demande.. ou n'importe où ailleurs!
    InformationsquelleAutor fl4l
  3. 16
    public class AuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response){
if (!request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
}
LoginRequest loginRequest = this.getLoginRequest(request);
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword());
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
private LoginRequest getLoginRequest(HttpServletRequest request) {
BufferedReader reader = null;
LoginRequest loginRequest = null;
try {
reader = request.getReader();
Gson gson = new Gson();
loginRequest = gson.fromJson(reader, LoginRequest.class);
} catch (IOException ex) {
Logger.getLogger(AuthenticationFilter.class.getName()).log(Level.SEVERE, null, ex);
} finally {
try {
reader.close();
} catch (IOException ex) {
Logger.getLogger(AuthenticationFilter.class.getName()).log(Level.SEVERE, null, ex);
}
}
if (loginRequest == null) {
loginRequest = new LoginRequest();
}
return loginRequest;
}
}
    • OK c'est une solution valable. Le but de ma classe était de respecter l'original attemptAuthentication flux de la récupération et de la définition du nom d'utilisateur et mot de passe, puis un appel à super.attemptAuthentication(...) à la fin de la méthode. Merci
    • Oui, mais en enregistrant nom d'utilisateur et le mot de passe en tant que membres de la fève, la solution n'est pas treadsafe. Deux utilisateurs de la tentative d'authentification att le même temps, pourraient se mélanger nom d'utilisateur et mots de passe. Une solution serait aussi d'enregistrer le nom d'utilisateur et le mot de passe dans l'objet de requête à l'aide de setAttribute
    InformationsquelleAutor oe.elvik
  4. 8

    Si vous voulez juste différent du corps de la requête de l'analyseur pour la demande de connexion juste étendre UsernamePasswordAuthenticationFilter et remplacer attemptAuthentication méthode.
    Par défaut UsernamePasswordAuthenticationFilter va analyser url encodé les données et créer des UsernamePasswordAuthenticationToken d'elle. Maintenant, vous avez juste besoin de faire parser qui va analyser tout ce que vous envoyez à l'application.

    Ici est un exemple qui va analyser {"username": "someusername", "password": "somepassword"}

    public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
try {
BufferedReader reader = request.getReader();
StringBuffer sb = new StringBuffer();
String line = null;
while ((line = reader.readLine()) != null) {
sb.append(line);
}
String parsedReq = sb.toString();
if (parsedReq != null) {
ObjectMapper mapper = new ObjectMapper();
AuthReq authReq = mapper.readValue(parsedReq, AuthReq.class);
return new UsernamePasswordAuthenticationToken(authReq.getUsername(), authReq.getPassword());
}
} catch (Exception e) {
System.out.println(e.getMessage());
throw new InternalAuthenticationServiceException("Failed to parse authentication request body");
}
return null;
}
@Data
public static class AuthReq {
String username;
String password;
}
}

    Dans l'extrait du corps de la requête est extrait à la chaîne et mappé pour objet AuthReq (@Data annotation est de lombok lib, il va générer seters et getters).
    Que vous pouvez faire UsernamePasswordAuthenticationToken qui sera transmise à défaut AuthenticationProvider.

    Maintenant, vous pouvez étendre WebSecurityConfigurerAdapter et remplacer cnofigure méthode pour remplacer l'ancien filtre.

    @Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/login", "/logout").permitAll()
.anyRequest().authenticated()
.and().addFilterAt(new CustomUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
.formLogin().loginProcessingUrl("/login")
.and()
.csrf().disable();
}

    Avec addFilterAt méthode que vous remplacez par défaut UsernamePasswordAuthenticationFilter. N'oubliez pas d'utiliser @EnableWebSecurity annotation.

    • peut-être que le printemps a changé. de retour UsernamePasswordAuthenticationToken de attemptAuthentication semble incorrect.
    InformationsquelleAutor Mihael Mamula
  5. 5

    Une autre façon, selon cette post, est de gérer manuellement le printemps de l'authentification de sécurité directement dans le Contrôleur.

    De cette manière, est très simple à gérer JSON d'entrée et éviter de login redirect:

    @Autowired
AuthenticationManager authenticationManager;
@ResponseBody
@RequestMapping(value="/login.json", method = RequestMethod.POST)
public JsonResponse mosLogin(@RequestBody LoginRequest loginRequest, HttpServletRequest request) {
JsonResponse response = null;
try {
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword());
token.setDetails(new WebAuthenticationDetails(request));
Authentication auth = authenticationManager.authenticate(token);
SecurityContext securityContext = SecurityContextHolder.getContext();
securityContext.setAuthentication(auth);
if(auth.isAuthenticated()){
HttpSession session = request.getSession(true);
session.setAttribute("SPRING_SECURITY_CONTEXT", securityContext);
LoginResponse loginResponse = new LoginResponse();
loginResponse.setResponseCode(ResponseCodeType.SUCCESS);
response = loginResponse;   
}else{
SecurityContextHolder.getContext().setAuthentication(null);
ErrorResponse errorResponse = new ErrorResponse();
errorResponse.setResponseCode(ResponseCodeType.ERROR);
response = errorResponse;
}   
} catch (Exception e) {     
ErrorResponse errorResponse = new ErrorResponse();
errorResponse.setResponseCode(ResponseCodeType.ERROR);
response = errorResponse;           
}
return response;
}
    • Je préfère le filtre, le ci-dessus est en fait qu'une demande dans un contrôleur, et je pense qu'il ne doit pas être mélangé et le filtre donne une belle séparation entre la sécurité et les contrôleurs. Opinion personnelle.
    • J'ai le même avis, je préfère les filtres sont dans la "couche de sécurité", qui est administré avant l'entrée dans les contrôleurs. Du point de vue de la sécurité, vous pensez que cette solution est moins sûr que la solution de filtre? est-il un potentiel pour la sécurité de l'exposition?
    • ne pas les filtres ont le problème de ne pas être une route enregistrée, et le printemps ne peut pas gérer correctement les autres types d'erreurs ou de fonctionnalités avec eux, comme les OPTIONS et la TÊTE des demandes, en montrant toutes les routes disponibles.
    InformationsquelleAutor fl4l
  6. 1

    J'ai appliqué les réponses de fl4l et oe.elvik pour la connexion avec JSON informations d'identification dans un Printemps de Démarrage de l'application. Je suis en train de travailler avec l'annotation à base de haricots de configuration.

    En référence réponses, un filtre personnalisé est créé, dans lequel le gestionnaire d'authentification est injecté. Pour ce faire, le gestionnaire d'authentification doit être présent comme un Ressort de Haricot. Voici un lien sur la façon de le faire: https://stackoverflow.com/a/21639553/3950535.

    InformationsquelleAutor Martijn Dirkse
  7. 0

    Regardez cet exemple: https://github.com/fuhaiwei/springboot_security_restful_api

    @EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private CustomLoginHandler customLoginHandler;
@Autowired
private CustomLogoutHandler customLogoutHandler;
@Autowired
private CustomAccessDeniedHandler customAccessDeniedHandler;
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/api/admin/**").hasRole("ADMIN")
.antMatchers("/api/basic/**").hasRole("BASIC")
.antMatchers("/api/session").permitAll()
.antMatchers(HttpMethod.GET).permitAll()
.antMatchers("/api/**").hasRole("BASIC");
http.formLogin();
http.logout()
.logoutUrl("/api/session/logout")
.addLogoutHandler(customLogoutHandler)
.logoutSuccessHandler(customLogoutHandler);
http.exceptionHandling()
.accessDeniedHandler(customAccessDeniedHandler)
.authenticationEntryPoint(customAccessDeniedHandler);
http.csrf()
.ignoringAntMatchers("/api/session/**");
http.addFilterBefore(new AcceptHeaderLocaleFilter(), UsernamePasswordAuthenticationFilter.class);
http.addFilterAt(customAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
http.addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class);
}
private CustomAuthenticationFilter customAuthenticationFilter() throws Exception {
CustomAuthenticationFilter filter = new CustomAuthenticationFilter();
filter.setAuthenticationSuccessHandler(customLoginHandler);
filter.setAuthenticationFailureHandler(customLoginHandler);
filter.setAuthenticationManager(authenticationManager());
filter.setFilterProcessesUrl("/api/session/login");
return filter;
}
private static void responseText(HttpServletResponse response, String content) throws IOException {
response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
byte[] bytes = content.getBytes(StandardCharsets.UTF_8);
response.setContentLength(bytes.length);
response.getOutputStream().write(bytes);
response.flushBuffer();
}
@Component
public static class CustomAccessDeniedHandler extends BaseController implements AuthenticationEntryPoint, AccessDeniedHandler {
//NoLogged Access Denied
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
responseText(response, errorMessage(authException.getMessage()));
}
//Logged Access Denied
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {
responseText(response, errorMessage(accessDeniedException.getMessage()));
}
}
@Component
public static class CustomLoginHandler extends BaseController implements AuthenticationSuccessHandler, AuthenticationFailureHandler {
//Login Success
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
LOGGER.info("User login successfully, name={}", authentication.getName());
responseText(response, objectResult(SessionController.getJSON(authentication)));
}
//Login Failure
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException {
responseText(response, errorMessage(exception.getMessage()));
}
}
@Component
public static class CustomLogoutHandler extends BaseController implements LogoutHandler, LogoutSuccessHandler {
//Before Logout
@Override
public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
}
//After Logout
@Override
public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
responseText(response, objectResult(SessionController.getJSON(null)));
}
}
private static class AcceptHeaderLocaleFilter implements Filter {
private AcceptHeaderLocaleResolver localeResolver;
private AcceptHeaderLocaleFilter() {
localeResolver = new AcceptHeaderLocaleResolver();
localeResolver.setDefaultLocale(Locale.US);
}
@Override
public void init(FilterConfig filterConfig) {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
Locale locale = localeResolver.resolveLocale((HttpServletRequest) request);
LocaleContextHolder.setLocale(locale);
chain.doFilter(request, response);
}
@Override
public void destroy() {
}
}    
}
public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
UsernamePasswordAuthenticationToken authRequest;
try (InputStream is = request.getInputStream()) {
DocumentContext context = JsonPath.parse(is);
String username = context.read("$.username", String.class);
String password = context.read("$.password", String.class);
authRequest = new UsernamePasswordAuthenticationToken(username, password);
} catch (IOException e) {
e.printStackTrace();
authRequest = new UsernamePasswordAuthenticationToken("", "");
}
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
}
    InformationsquelleAutor Intopass
  8. 0

    Ici est la java de configuration pour les solutions ci-dessus:

    @Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.addFilterBefore(authenticationFilter(),UsernamePasswordAuthenticationFilter.class)
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll();
}
@Bean
public AuthenticationFilter authenticationFilter() throws Exception{
AuthenticationFilter authenticationFilter = new AuthenticationFilter();
authenticationFilter.setUsernameParameter("username");
authenticationFilter.setPasswordParameter("password");
authenticationFilter.setAuthenticationManager(authenticationManager());
authenticationFilter.setFilterProcessesUrl("/login");
authenticationFilter.setAuthenticationSuccessHandler(successHandler());
return authenticationFilter;
}
@Bean
public SuccessHandler successHandler(){
return new SuccessHandler();
}
    InformationsquelleAutor Ali786