我想就您在Spring Security中遇到的问题寻求帮助。
我有一个要求,我必须根据用户选择的选项来验证登录凭据。选项1是通过第三方服务验证登录用户。选项2是使用数据库身份验证级别的常规验证。我该如何实施?
最佳答案
一般策略
org.springframework.security.authentication.AuthenticationProvider
的自定义实现,该实现将身份验证委派给适当的后端(第三方服务,另一个AuthenticationProvider
等)。 AuthenticationProvider
,使其能够选择正确的身份验证后端。 AuthenticationProvider
配置为默认身份验证提供程序。 步骤1:实施
AuthenticationProvider
AuthenticationProvider
是具有单个方法的接口。因此,自定义实现可能类似于:class DelegatingAuthenticationProvider implements AuthenticationProvider {
@Autowired
private ThirdPartyAuthenticationService service;
@Autowired
@Qualifier("anotherAuthenticationProvider")
private AuthenticationProvider provider;
@Override
public Authentication authenticate(final Authentication authentication) throws AuthenticationException {
// Get the user selection.
String selection = (String) authentication.getDetails();
// Take action depending on the selection.
Authentication result;
if("ThirdParty".equals(selection)) {
// Authenticate using "service" and generate a new
// Authentication "result" appropriately.
}
else {
// Authenticate using "provider" and generate a new
// Authentication "result" appropriately.
}
return result;
}
}
步骤2:将用户选择传递给
AuthenticationProvider
上面的
AuthenticationProvider
实现从details
对象的Authentication
属性中选择用户。据推测,在调用HttpServletRequest
之前,必须从Authentication
中提取用户选择并将其添加到AuthenticationProvider
对象中。这意味着,必须在调用Authentication
之前调用另一个可以访问HttpServletRequest
和AuthenticationProvider
对象的组件。Authentication
对象由AbstractAuthenticationProcessingFilter
的实现创建。此类具有名为attemptAuthentication
的方法,该方法接受HttpServletRequest
对象并返回Authentication
对象。因此,看来这将是实现所需内容的一个不错的选择。对于基于用户名密码的身份验证,实现类为UsernamePasswordAuthenticationFilter
。此类返回UsernamePasswordAuthenticationToken
的新实例,该实例是Authentication
的实现。因此,扩展UsernamePasswordAuthenticationFilter
的类就足够了。class ExtendedUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
...
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, password);
authentication.setDetails(obtainUserSelection(request));
...
return authentication;
}
}
obtainUserSelection
是一个私有方法,可将用户选择从请求中删除。步骤3:配置
在Spring Security配置中配置
AuthenticationProvider
和filter实现。确切步骤将因使用XML还是Java配置而异。