在Spring Security中实现自定义身份验证

Question

我想就Spring Security中的问题向您寻求帮助。 我有一个要求，我必须根据用户选择的选项验证登录凭据。 选项1将通过第三方服务验证登录用户。 选项2是使用数据库身份验证级别的正常验证。 我该如何实现呢？

Answer 1

一般战略

1. 提供org.springframework.security.authentication.AuthenticationProvider的自定义实现，该org.springframework.security.authentication.AuthenticationProvider将身份验证委派给适当的后端（第三方服务，另一个AuthenticationProvider等）。
2. 将用户选择的选项传递给自定义AuthenticationProvider ，使其能够选择正确的身份验证后端。
3. 将自定义AuthenticationProvider配置为默认身份验证提供程序。

---

第1步：实现AuthenticationProvider

AuthenticationProvider是具有单个方法的接口。 因此，自定义实现可能如下所示：

class DelegatingAuthenticationProvider implements AuthenticationProvider {
  @Autowired
  private ThirdPartyAuthenticationService service;

  @Autowired
  @Qualifier("anotherAuthenticationProvider")
  private AuthenticationProvider provider;

  @Override
  public Authentication authenticate(final Authentication authentication) throws AuthenticationException {
    // Get the user selection.
    String selection = (String) authentication.getDetails();

    // Take action depending on the selection.
    Authentication result;
    if("ThirdParty".equals(selection)) {
      // Authenticate using "service" and generate a new
      // Authentication "result" appropriately.
    }
    else {
      // Authenticate using "provider" and generate a new
      // Authentication "result" appropriately.
    }

    return result;
  }
}

第2步：将用户选择传递给AuthenticationProvider

上面的AuthenticationProvider实现从Authentication对象的details属性中选择用户选择。 据推测，所述用户选择将必须从拾取HttpServletRequest并添加到Authentication的前对象AuthenticationProvider被调用。 这意味着，在调用AuthenticationProvider之前，需要调用另一个可以访问Authentication和HttpServletRequest对象的组件。

Authentication对象由AbstractAuthenticationProcessingFilter的实现创建。 此类有一个名为attemptAuthentication的方法，该方法接受HttpServletRequest对象并返回Authentication对象。 因此，这似乎是实施所需内容的良好候选者。 对于基于用户名密码的身份验证，实现类是UsernamePasswordAuthenticationFilter 。 此类返回UsernamePasswordAuthenticationToken的新实例，该实例是Authentication的实现。 因此，扩展UsernamePasswordAuthenticationFilter的类应该足够了。

class ExtendedUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
  @Override
  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
    ...
    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, password);
    authentication.setDetails(obtainUserSelection(request));

    ...

    return authentication;
  }
}

obtainUserSelection是一个私有方法，可以从请求中获取用户选择。

第3步：配置

在Spring Security配置中配置AuthenticationProvider和过滤器实现。 具体步骤将根据是使用XML还是Java配置而有所不同。