AuthenticationProvider

AuthenticationProvider

我想就您在Spring Security中遇到的问题寻求帮助。
我有一个要求,我必须根据用户选择的选项来验证登录凭据。选项1是通过第三方服务验证登录用户。选项2是使用数据库身份验证级别的常规验证。我该如何实施?

最佳答案

一般策略

  • 提供org.springframework.security.authentication.AuthenticationProvider的自定义实现,该实现将身份验证委派给适当的后端(第三方服务,另一个AuthenticationProvider等)。
  • 将用户选择的选项传递给自定义AuthenticationProvider,使其能够选择正确的身份验证后端。
  • 将自定义AuthenticationProvider配置为默认身份验证提供程序。



  • 步骤1:实施AuthenticationProvider
    AuthenticationProvider是具有单个方法的接口。因此,自定义实现可能类似于:
    class DelegatingAuthenticationProvider implements AuthenticationProvider {
      @Autowired
      private ThirdPartyAuthenticationService service;
    
      @Autowired
      @Qualifier("anotherAuthenticationProvider")
      private AuthenticationProvider provider;
    
      @Override
      public Authentication authenticate(final Authentication authentication) throws AuthenticationException {
        // Get the user selection.
        String selection = (String) authentication.getDetails();
    
        // Take action depending on the selection.
        Authentication result;
        if("ThirdParty".equals(selection)) {
          // Authenticate using "service" and generate a new
          // Authentication "result" appropriately.
        }
        else {
          // Authenticate using "provider" and generate a new
          // Authentication "result" appropriately.
        }
    
        return result;
      }
    }
    

    步骤2:将用户选择传递给AuthenticationProvider

    上面的AuthenticationProvider实现从details对象的Authentication属性中选择用户。据推测,在调用HttpServletRequest之前,必须从Authentication中提取用户选择并将其添加到AuthenticationProvider对象中。这意味着,必须在调用Authentication之前调用另一个可以访问HttpServletRequestAuthenticationProvider对象的组件。
    Authentication对象由AbstractAuthenticationProcessingFilter的实现创建。此类具有名为attemptAuthentication的方法,该方法接受HttpServletRequest对象并返回Authentication对象。因此,看来这将是实现所需内容的一个不错的选择。对于基于用户名密码的身份验证,实现类为UsernamePasswordAuthenticationFilter。此类返回UsernamePasswordAuthenticationToken的新实例,该实例是Authentication的实现。因此,扩展UsernamePasswordAuthenticationFilter的类就足够了。
    class ExtendedUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
      @Override
      public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        ...
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, password);
        authentication.setDetails(obtainUserSelection(request));
    
        ...
    
        return authentication;
      }
    }
    
    obtainUserSelection是一个私有方法,可将用户选择从请求中删除。

    步骤3:配置

    在Spring Security配置中配置AuthenticationProvider和filter实现。确切步骤将因使用XML还是Java配置而异。

    10-05 17:54