具有 Active Directory 和数据库角色的 Spring Security

【问题标题】:Spring Security with Active Directory and Database roles具有 Active Directory 和数据库角色的 Spring Security
【发布时间】:2015-02-18 12:15:38
【问题描述】:

我正在尝试将 Spring Security 与 Active Directory 用户名和密码一起使用。此外,我有一个数据库角色表,它与包含 Active Directory 用户名的用户表有关系(用户表与 Active Directory 无关,它是完全独立的,我只是将用户名放在该表中,这样我就可以将其与角色匹配)

我正在关注这个例子 http://krams915.blogspot.com/2012/01/spring-security-31-implement_1244.html

问题是在CustomUserDetailsS​​ervice类的loadUserByUsername方法中我没看到密码用在哪里。

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        try {
            org.krams.domain.User domainUser = userRepository.findByUsername(username);

            boolean enabled = true;
            boolean accountNonExpired = true;
            boolean credentialsNonExpired = true;
            boolean accountNonLocked = true;

            return new User(
                    domainUser.getUsername(), 
                    domainUser.getPassword().toLowerCase(),
                    enabled,
                    accountNonExpired,
                    credentialsNonExpired,
                    accountNonLocked,
                    getAuthorities(domainUser.getRole().getRole()));

        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

据我了解,此行根据数据库 userRepository.findByUsername(username); 验证用户名

但是我怎样才能在那里使用 lpad 验证呢?我可以在这里使用身份验证工具http://www.javaxt.com/Tutorials/Windows/How_to_Authenticate_Users_with_Active_Directory

更新:

我正在尝试让它与 CustomUserDetailsContextMapper 一起工作

XML

<authentication-manager >
    <authentication-provider ref="ldapActiveDirectoryAuthProvider" />
</authentication-manager>

<beans:bean id="ldapActiveDirectoryAuthProvider" 
        class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
    <beans:constructor-arg value="domain" />
    <beans:constructor-arg value="ldap://NAME/"/> 
    <beans:property name="userDetailsContextMapper" ref="tdrUserDetailsContextMapper"/>
    <beans:property name="useAuthenticationRequestCredentials" value="true"/>
</beans:bean>

<beans:bean id="tdrUserDetailsContextMapper" class="com.test8.security8.service.CustomUserDetailsContextMapper"/>

自定义类

public class CustomUserDetailsContextMapper implements UserDetailsContextMapper, Serializable{

    private static final long serialVersionUID = 3962976258168853984L;

    @Override
    public UserDetails mapUserFromContext(DirContextOperations ctx, String username, Collection<? extends GrantedAuthority> authority) {
        String role="admin";
        System.out.println("TEST");
        if(username.equals("usuario"))role="admin";
        else role="user";
        List authList = getAuthorities(role);

        return new User(username, "", true, true, true, true, authList);
    }

    private List getAuthorities(String role) {

        List authList = new ArrayList();
        authList.add(new SimpleGrantedAuthority("ROLE_USER"));

        //you can also add different roles here
        //for example, the user is also an admin of the site, then you can add ROLE_ADMIN
        //so that he can view pages that are ROLE_ADMIN specific
        if (role != null && role.trim().length() > 0) {
            if (role.equals("admin")) {
                authList.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            }
        }

        return authList;
    }

    @Override
    public void mapUserToContext(UserDetails arg0, DirContextAdapter arg1) {
        // TODO Auto-generated method stub      
    }
}

我想我快到了,我没有收到错误,但它似乎无法映射任何用户,System.out.println("TEST");线永远不会被执行。它可能与 URL/域有关吗?我确定 URL 是正确的,因为如果我更改它,我会收到错误消息。

【问题讨论】:

  • 正如方法所建议的那样,您并没有看不到任何东西,这仅用于加载用户名。密码检查在其他地方处理。
  • 在示例中,在此行中获取了一个用户对象:domainUser = userRepository.findByUsername(username)。我想这样做,但要使用 Active Directory 用户
  • 您有没有花时间阅读documentation,它解释了如何使用活动目录?实现自定义UserDetailsContextMapper 以访问用户名并从数据库中检索角色,其余信息可以来自 LDAP 身份验证。
  • 我想我不明白,:(。我试图围绕我指出的示例构建一个解决方案。但是使用 UserDetailsContextMappers 似乎是一种不同的方法。我应该实现 UserDetailsContextMapper 而不是 UserDetailsS​​ervice 和以同样的方式使用它?。
  • 该示例适用于 JPA 而不是 Active Directory。

标签: spring spring-security active-directory


【解决方案1】:

我最终使用了 M. Deinum 建议的 UserDetailsContextMapper。我还创建了自定义 SpringSecurityLdapTemplate 和 ActiveDirectoryLdapAuthenticationProvider。

在我的自定义 ActiveDirectoryLdapAuthenticationProvider 中,我更改了以下方法:

private LdapContext bindAsUser(String username, String password) {
    // TODO. add DNS lookup based on domain
    final String bindUrl = url;

    Hashtable<String,String> env = new Hashtable<String,String>();
    env.put(Context.SECURITY_AUTHENTICATION, "simple");
    String bindPrincipal = createBindPrincipal(username);
    env.put(Context.SECURITY_PRINCIPAL, bindPrincipal);
    env.put(Context.PROVIDER_URL, bindUrl);
    env.put(Context.SECURITY_CREDENTIALS, password);
    env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
    env.put(Context.REFERRAL, "follow");

    try {
        return new InitialLdapContext(env, null);
    } catch (NamingException e) {
        if ((e instanceof AuthenticationException) || (e instanceof OperationNotSupportedException)) {
            handleBindException(bindPrincipal, e);
            throw badCredentials();
        } else {
            throw LdapUtils.convertLdapException(e);
        }
    }
}

这对我来说很重要:env.put(Context.REFERRAL, "follow");

并在 SpringSecurityLdapTemplate 自定义类中

public static DirContextOperations searchForSingleEntryInternal(DirContext ctx, SearchControls searchControls,
        String base, String filter, Object[] params) throws NamingException {
    final DistinguishedName ctxBaseDn = new DistinguishedName(ctx.getNameInNamespace());
    final DistinguishedName searchBaseDn = new DistinguishedName(base);
    final NamingEnumeration<SearchResult> resultsEnum = ctx.search(searchBaseDn, filter, params, buildControls(searchControls));

   filter, searchControls);
    if (logger.isDebugEnabled()) {
        logger.debug("Searching for entry under DN '" + ctxBaseDn
                + "', base = '" + searchBaseDn + "', filter = '" + filter + "'");
    }

    Set<DirContextOperations> results = new HashSet<DirContextOperations>();
    try {

        while (resultsEnum.hasMore()) {


            SearchResult searchResult = resultsEnum.next();

            DirContextAdapter dca = new DirContextAdapter();

            //dca=(DirContextAdapter) searchResult.getObject();
            Assert.notNull(dca, "No object returned by search, DirContext is not correctly configured");

            if (logger.isDebugEnabled()) {
                logger.debug("Found DN: " + dca.getDn());
            }
            results.add(dca);
        }
    } catch (PartialResultException e) {
        LdapUtils.closeEnumeration(resultsEnum);
        logger.info("Ignoring PartialResultException");
    }

    if (results.size() == 0) {
        throw new IncorrectResultSizeDataAccessException(1, 0);
    }

    if (results.size() > 1) {
        throw new IncorrectResultSizeDataAccessException(1, results.size());
    }

    return results.iterator().next();
}

这对我有用,但这是一个非常特殊的场景。感谢 M. Deinum 为我指明了正确的方向。

【讨论】:

    猜你喜欢
    • 2013-05-17
    • 2016-07-09
    • 1970-01-01
    • 2011-09-15
    • 2012-03-02
    • 2012-11-21
    • 2020-03-16
    • 2013-06-12
    • 2014-10-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode