堆栈内存溢出
  繁体   English   中英

Spring 与多个提供商的安全性

[英]Spring security with multiple providers

 原文  2021-03-03 01:38:26       java/ spring-security/ cas

问题描述

我正在设置一个有 2 个不同用户的应用程序:

  • 我的 ldap 中的一个可以与 cas 身份验证连接
  • 一个外部硬编码,带有一个简单的 formlogin

我创建了 2 个安全配置:

外部用户配置:

@EnableWebSecurity
@Configuration
@RequiredArgsConstructor
@Order(1)
public class SecurityVanuatuConfiguration extends WebSecurityConfigurerAdapter {

@Bean
@Override
public UserDetailsService userDetailsService() {
    UserDetails user =
        User.withUsername("user")
            .password("{noop}user")
            .roles("USER")
            .build();

    return new InMemoryUserDetailsManager(user);
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable().antMatcher("/user/**")
        .authorizeRequests()
        .requestMatchers(SecurityUtils::isFrameworkInternalRequest).permitAll()
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage(LOGIN_URL).permitAll()
        .loginProcessingUrl(LOGIN_PROCESSING_URL)
        .failureUrl(LOGIN_FAILURE_URL)
        .successHandler(successHandler)
        .failureHandler(successHandler)
        .and().logout().logoutSuccessUrl(LOGOUT_SUCCESS_URL);
}

Cas配置:

@EnableWebSecurity
@Configuration
@RequiredArgsConstructor
@Order(2)
public class SecurityCasConfiguration extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable().antMatcher("/admin/**")
        .authorizeRequests()
        .requestMatchers(SecurityUtils::isFrameworkInternalRequest).permitAll()
        .anyRequest().authenticated()
        .and()
        .httpBasic()
        .authenticationEntryPoint(authenticationEntryPoint())
        .and()
        .addFilter(casAuthenticationFilter())
        .addFilterBefore(casLogoutFilter(), CasAuthenticationFilter.class);
}

@Bean
public SingleSignOutFilter casLogoutFilter() {
    SingleSignOutFilter singleSignOutFilter = new SingleSignOutFilter();
    return singleSignOutFilter;
}

// if I remove this bean, external configuration works
@Bean
public CasAuthenticationProvider casAuthenticationProvider() {
    CasAuthenticationProvider provider = new CasAuthenticationProvider();
    provider.setServiceProperties(serviceProperties());
    provider.setTicketValidator(new Cas30ServiceTicketValidator("https://sso.unc.nc/cas"));
    provider.setKey("cas");
    provider.setAuthenticationUserDetailsService(successHandler);
    return provider;
}

每个配置单独工作时都有效,但同时存在时,外部配置不起作用。

似乎 CasAuthenticationProvider bean 阻止了 formLogin 工作,我最终进入了 FailureHandler。

这是错误:

org.springframework.security.authentication.ProviderNotFoundException: No AuthenticationProvider found for org.springframework.security.authentication.UsernamePasswordAuthenticationToken

我怎样才能使这两个配置一起工作?

1 个解决方案

解决方案1
 1  2021-03-04 01:13:13

当您将某些内容标记为@Bean时,您就是将其放入了 spring 可以在需要时将其注入到类中的 bean 池中。

你已经注册

@Bean
public CasAuthenticationProvider casAuthenticationProvider() {
    ...
}

作为一个@Bean ,它是一个AuthenticationProvider 当您使用@Bean注册它时,需要它的每个人都会选择它,这意味着您的WebSecurityConfigurerAdapter都将使用它。

Spring 无法知道您只希望这是在您的一个安全配置中,而不是另一个。

您必须通过删除@Bean并手动设置它来明确定义您想要它而不是另一个。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(casAuthenticationProvider());
}

public CasAuthenticationProvider casAuthenticationProvider() {
    ...
}

您必须始终决定是否要手动设置某些内容,或者使用@Bean并让 spring 为您注入它。

因此,例如,您正在注册一个过滤器 (casLogoutFilter) 手动设置它,但也将其定义为@Bean告诉 spring 将其注入过滤器链,这有点没有意义。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 具有多个身份验证提供程序的Spring安全性-UsernameNotFoundException Spring Security-多个身份验证提供者 Spring Security的许多提供商 Spring安全 - 使用多个身份验证提供程序进行身份验证 Spring Security-如何使用Java Config配置多个身份验证提供程序 多个身份验证提供程序:/ j_spring_security_check和社交登录 了解Spring Security中的身份验证提供程序 Spring Boot / Spring Security根据路径在多个身份验证提供程序之间进行选择 同一事务Spring中的多个资源提供者 Spring Boot Auth服务器中的多个SSO提供程序
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM