防止spring注入默认的AuthenticationManager

【问题标题】:Prevent spring from injecting the default AuthenticationManager防止spring注入默认的AuthenticationManager
【发布时间】:2017-10-24 09:17:58
【问题描述】:

我正在尝试使用两个不同的 AuthenticationProviders 创建一个 spring 安全配置,并公开一个 rest 接口来验证凭据(这只是在开发环境中使用,将被 prod 中的 oAuth 服务替换。)但是当我注入AuthenticationManager 进入 Controller,spring 创建一个默认的 AuthenticationManager 并将其注入到 RestController 中。如何让spring注入WebSecurityConfigurationAdapter中配置的AuthenticationManager?我正在使用 spring-boot-starter-security:1.5.7.RELEASE。这是我的安全配置:

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
@Configuration
public class LocalWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
    private final DevUserDetailsService devUserDetailService;
    private final ServiceUserDetailService serviceUserDetailService;

    @Autowired
    public LocalWebSecurityConfigurationAdapter(DevUserDetailsService devUserDetailService, ServiceUserDetailService serviceUserDetailService) {
        this.devUserDetailService = devUserDetailService;
        this.serviceUserDetailService = serviceUserDetailService;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and().authorizeRequests().antMatchers("/api/public/**").permitAll()
                .antMatchers("/api/login").permitAll()
                .antMatchers("/api/**").fullyAuthenticated()
                .anyRequest().permitAll()
                .and().exceptionHandling().authenticationEntryPoint(unauthorizedEntryPoint())
                .and().httpBasic();
    }

    @Bean
    public AuthenticationEntryPoint unauthorizedEntryPoint() {
        return (request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED);
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(devUserDetailService);
        DaoAuthenticationProvider serviceUserAuthProvider = new DaoAuthenticationProvider();
        serviceUserAuthProvider.setUserDetailsService(serviceUserDetailService);
        serviceUserAuthProvider.setPasswordEncoder(passwordEncoder());
        auth.authenticationProvider(serviceUserAuthProvider);
    }


    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

这是我的 RestController:

@RestController
@RequestMapping("/api/login")
public class LoginController {
    private final Logger log = LoggerFactory.getLogger(this.getClass());
    private final AuthenticationManager authenticationManager;

    public LoginController(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @RequestMapping(method = RequestMethod.POST)
    public Map<String, String> login(@RequestBody Map<String, String> body) {
        String user = body.get("user");
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(user, body.get("password"));
        try {
            authenticationManager.authenticate(token);
            return Collections.singletonMap("status", "ok");
        } catch (BadCredentialsException e) {
            return Collections.singletonMap("status", "bad credentials");
        } catch (AuthenticationException e) {
            log.warn("Could not authenticate user {} because {}.", user, e.getMessage(), e);
            return Collections.singletonMap("status", "general error");
        }
    }
}

由于你们可能是 spring 的专家,是否有最佳实践来根据代码运行的环境(使用配置文件)创建不同的安全配置而不创建冗余代码?我尝试了一个超级类,但 spring 不太喜欢它。

【问题讨论】:

    标签: java spring spring-boot spring-security dependency-injection


    【解决方案1】:

    我终于找到了解决办法。通过在我的配置类中使用 configureGlobal,AuthenticationManager 在所有 Spring 托管组件之间共享。

    @Autowired
public void configureGlobal(AuthenticationManagerBuilder auth, DevUserDetailsService devUserDetailService,
                            @Qualifier("serviceUserAuthenticationProvider") AuthenticationProvider serviceUserAuthProvider) throws Exception {
    auth.userDetailsService(devUserDetailService);
    auth.authenticationProvider(serviceUserAuthProvider);
}

    对于重用配置,我还是没有找到好的解决方案。为所有常见配置创建一个抽象的“超级配置”会带来麻烦,因为一个方法使用@Bean 注释并且创建多个 WebSecurityConfigurerAdapter 会导致一个覆盖另一个,所以如果有最佳实践,我仍然感兴趣一个适当的解决方案。我已经设法做我想做的事,但对我来说仍然感觉有点像黑客。对于遇到类似问题的任何人,我希望这会有所帮助。

    【讨论】:

      【解决方案2】:

      LocalWebSecurityConfigurationAdapter中声明bean:

      @Bean(name="appAuthenticationManager") 
@Override 
public AuthenticationManager authenticationManagerBean() throws Exception {  
       return super.authenticationManagerBean(); 
}

      并像任何其他 bean 一样注入其他组件:

      public LoginController(@Qualifier("appAuthenticationManager") AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
}

      【讨论】:

        猜你喜欢
        • 2020-05-08
        • 2016-10-14
        • 1970-01-01
        • 2021-09-07
        • 2018-10-19
        • 1970-01-01
        • 2012-03-30
        • 2021-12-28
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode