java - 在Spring Security中实现自定义身份验证

我想就您在Spring Security中遇到的问题寻求帮助。
我有一个要求，我必须根据用户选择的选项来验证登录凭据。选项1是通过第三方服务验证登录用户。选项2是使用数据库身份验证级别的常规验证。我该如何实施？

最佳答案

一般策略

提供org.springframework.security.authentication.AuthenticationProvider的自定义实现，该实现将身份验证委派给适当的后端(第三方服务，另一个AuthenticationProvider等)。

将用户选择的选项传递给自定义AuthenticationProvider，使其能够选择正确的身份验证后端。

将自定义AuthenticationProvider配置为默认身份验证提供程序。

步骤1:实施AuthenticationProvider
AuthenticationProvider是具有单个方法的接口。因此，自定义实现可能类似于:

class DelegatingAuthenticationProvider implements AuthenticationProvider {
  @Autowired
  private ThirdPartyAuthenticationService service;

  @Autowired
  @Qualifier("anotherAuthenticationProvider")
  private AuthenticationProvider provider;

  @Override
  public Authentication authenticate(final Authentication authentication) throws AuthenticationException {
    // Get the user selection.
    String selection = (String) authentication.getDetails();

    // Take action depending on the selection.
    Authentication result;
    if("ThirdParty".equals(selection)) {
      // Authenticate using "service" and generate a new
      // Authentication "result" appropriately.
    }
    else {
      // Authenticate using "provider" and generate a new
      // Authentication "result" appropriately.
    }

    return result;
  }
}

步骤2:将用户选择传递给AuthenticationProvider

上面的AuthenticationProvider实现从details对象的Authentication属性中选择用户。据推测，在调用HttpServletRequest之前，必须从Authentication中提取用户选择并将其添加到AuthenticationProvider对象中。这意味着，必须在调用Authentication之前调用另一个可以访问HttpServletRequest和AuthenticationProvider对象的组件。
Authentication对象由AbstractAuthenticationProcessingFilter的实现创建。此类具有名为attemptAuthentication的方法，该方法接受HttpServletRequest对象并返回Authentication对象。因此，看来这将是实现所需内容的一个不错的选择。对于基于用户名密码的身份验证，实现类为UsernamePasswordAuthenticationFilter。此类返回UsernamePasswordAuthenticationToken的新实例，该实例是Authentication的实现。因此，扩展UsernamePasswordAuthenticationFilter的类就足够了。

class ExtendedUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
  @Override
  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
    ...
    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, password);
    authentication.setDetails(obtainUserSelection(request));

    ...

    return authentication;
  }
}

obtainUserSelection是一个私有方法，可将用户选择从请求中删除。

步骤3:配置

在Spring Security配置中配置AuthenticationProvider和filter实现。确切步骤将因使用XML还是Java配置而异。