Spring security token personnalisé filtre

Je suis en train de réaliser un filtre personnalisé pour obtenir un jeton et de les valider. Je suis en suivant l'approche adoptée dans ce réponse.

C'est la configuration par défaut:

SecurityConfig:

@Configuration
@EnableWebSecurity
@ComponentScan(basePackages = {"com.company.app"})
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Inject
AuthenticationTokenFilter authenticationTokenFilter;

@Inject
TokenAuthenticationProvider tokenAuthenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
                .antMatcher("/*")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                    .anyRequest().authenticated();
    }

}

AuthenticationTokenFilter:

@Component
public class AuthenticationTokenFilter implements Filter {

private static final Logger logger = LoggerFactory.getLogger(AuthenticationTokenFilter.class);

@Override
public void init(FilterConfig fc) throws ServletException {
    logger.info("Init AuthenticationTokenFilter");
}

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain fc) throws IOException, ServletException {
    SecurityContext context = SecurityContextHolder.getContext();
    if (context.getAuthentication() != null && context.getAuthentication().isAuthenticated()) {
        //do nothing
    } else {
        Map<String,String[]> params = req.getParameterMap();
        if (!params.isEmpty() && params.containsKey("auth_token")) {
            String token = params.get("auth_token")[0];
            if (token != null) {
                Authentication auth = new TokenAuthentication(token);
                SecurityContextHolder.getContext().setAuthentication(auth);
            }
        }
    }

    fc.doFilter(req, res);
}

@Override
public void destroy() {

}
}

TokenAuthentication:

public class TokenAuthentication implements Authentication {
private String token;

public TokenAuthentication(String token) {
    this.token = token;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    return new ArrayList<GrantedAuthority>(0);
}
@Override
public Object getCredentials() {
    return token;
}
@Override
public Object getDetails() {
    return null;
}
@Override
public Object getPrincipal() {
    return null;
}
@Override
public boolean isAuthenticated() {
    return false;
}
@Override
public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
}
@Override
public String getName() {
    return null;
}
}

TokenAuthenticationProvider:

@Component
public class TokenAuthenticationProvider implements AuthenticationProvider {

private static final Logger logger = LoggerFactory.getLogger(TokenAuthenticationProvider.class);

@Override
public Authentication authenticate(Authentication auth) throws AuthenticationException {
    if (auth.isAuthenticated())
        return auth;

    String token = auth.getCredentials().toString();
    User user = userSvc.validateApiAuthenticationToken(token);
    if (user != null) {
        auth = new PreAuthenticatedAuthenticationToken(user, token);
        auth.setAuthenticated(true);
        logger.debug("Token authentication. Token: ");
    } else
        throw new BadCredentialsException("Invalid token " + token);
    return auth;
}

@Override
public boolean supports(Class<?> aClass) {
    return true;
}

}

Mais c'est comme le AuthenticationTokenFilter n'est pas ajouté à la chaîne. Débogage je peux voir que quand je fais un appel, il entre à l'SecurityConfig et configurer la méthode, mais de ne pas le filtre.
Ce qui est absent?

avez-vous de toute sécurité de l'autre config classes ?
Halca pas, est quelque chose qui manque ?
il semble comme il se doit le travail, j'ai eu quelques comportements étranges comme la votre, c'est avec @Order annotation sur la sécurité config classes
lors de la première convocation, il entre à la méthode configure(mais une seule fois, la prochaine appels entre directement à la manette). Le filtre est ignoré, je ne sais pas si le HttpSecurity configuration est correcte
quand TokenAuthenticationProviderr sera appelé? Devrait AuthenticationTokenFilter et TokenAuthenticationProviderr être appelé à chaque requête??

OriginalL'auteur Federico | 2014-03-12

  1. 4

    essayez de désactiver anonymous d'authentification et de changement de fully d'authentification pour la sécurité de votre règle.

    quelque chose comme ceci :

    http
    .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
                    .antMatcher("/token")
                    .authenticationProvider(tokenAuthenticationProvider)
                    .authorizeUrls().anyRequest().fullyAuthenticated()
    .and()
                    .anonymous().disable()
    ne peut pas résoudre méthode anonyme
    vous devez avoir au moins "spring-security-javaconfig-1.0.0.M1.jar" qui est la compilation de beaux
    J'ai de printemps à la sécurité web et de printemps-sécurité-config, pourquoi est-ce que les lib-elle nécessaire?
    cette lib est pour java config pour le printemps de sécurité
    non, c'est la même chose

    OriginalL'auteur Eugen Halca

  2. 2

    Ce qui vous manque est 

    <filter>
       <filter-name>springSecurityFilterChain</filter-name>
       <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
       <filter-name>springSecurityFilterChain</filter-name>
       <url-pattern>/*</url-pattern>
</filter-mapping>

    dans votre web.xml ou équivalent pour intializers sur votre classpath:

    import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

@Order(value = 1)
public class SecurityInitializer extends AbstractSecurityWebApplicationInitializer {
}

    Ceci est distinct de votre WebApplicationInitializer. Note:

    • votre SecurityConfig (ou quoi que ce soit annotée avec @EnableWebSecurity) doit être défini dans le contexte de la racine (pas le répartiteur contexte)
    • vous devriez probablement comprendre ordre de l'initialisation (je ne sais pas si ce que je fais):

    "De la commande de WebApplicationInitializer"

    Si un Filtre de servlet mappages sont ajoutés après AbstractSecurityWebApplicationInitializer est invoqué, il peut être accidentellement ajouté avant springSecurityFilterChain. À moins qu'une demande contient Filtre les instances qui n'ont pas besoin d'être sécurisé, springSecurityFilterChain doit être avant tout autre Filtre de mappings. @Afin d'annotation peut être utilisée pour aider à s'assurer que toute WebApplicationInitializer est chargé dans un déterministe de l'ordre.

    Exemple:

    @Order(value = 10)
public class AppWebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

  @Override
  protected Class<?>[] getRootConfigClasses() {
      return new Class<?>[] { AppConfig.class, SecurityConfig.class };
  }

  @Override
  protected Class<?>[] getServletConfigClasses() {
      return new Class<?>[] { RestConfig.class };
  }

  @Override
  protected String[] getServletMappings() {
      return new String[] { "/rest/*"};
  }
}

    Pour résumer, à partir du Printemps de la documentation:

    Lors de l'utilisation de servlet filtres, vous avez évidemment besoin de les déclarer dans votre web.xml ou ils seront ignorés par le conteneur de servlet. Au Printemps de Sécurité, les classes de filtre sont également beans Spring définis dans le contexte de l'application et donc en mesure de profiter du Printemps est riche d'injection de dépendance des installations et du cycle de vie des interfaces. Le printemps DelegatingFilterProxy assure le lien entre la web.xml et le contexte de l'application.

    Le Filtre De Sécurité De La Chaîne

    OriginalL'auteur kedzi

  3. 0

    Vieux post, mais je pense que authenticationProvider() doit venir AVANT "addBeforeFilter". Vous ne savez pas si cela fera une différence d'aujourd'hui, mais il pourrait être important. Il ne peut pas autant d'importance.

    Aussi essayer d'ajouter sur votre classe de configuration pour résoudre le problème:

    @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    OriginalL'auteur Dexter