快捷導(dǎo)航

Spring Security認(rèn)證提供程序示例詳解

更新時(shí)間：2019年05月18日 11:11:45 作者：程序猿Knight

這篇文章主要給大家介紹了關(guān)于Spring Security認(rèn)證提供程序的相關(guān)資料，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家學(xué)習(xí)或者使用Spring Security具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧

1.簡(jiǎn)介

本教程將介紹如何在Spring Security中設(shè)置身份驗(yàn)證提供程序，與使用簡(jiǎn)單UserDetailsService的標(biāo)準(zhǔn)方案相比，提供了額外的靈活性。

2. The Authentication Provider

Spring Security提供了多種執(zhí)行身份驗(yàn)證的選項(xiàng) - 所有這些都遵循簡(jiǎn)單的規(guī)范 - 身份驗(yàn)證請(qǐng)求由Authentication Provider處理，并且返回具有完整憑據(jù)的完全身份驗(yàn)證的對(duì)象。

標(biāo)準(zhǔn)和最常見的實(shí)現(xiàn)是DaoAuthenticationProvider - 它從一個(gè)簡(jiǎn)單的只讀用戶DAO檢索用戶詳細(xì)信息 - UserDetailsService。此UserDetailsService只能訪問用戶名，用來檢索完整的用戶實(shí)體 - 在很多情況下，這就足夠了。

更多常見的場(chǎng)景仍然需要訪問完整的身份驗(yàn)證請(qǐng)求才能執(zhí)行身份驗(yàn)證過程。例如，在針對(duì)某些外部第三方服務(wù)（例如Crowd）進(jìn)行身份驗(yàn)證時(shí)，將需要來自身份驗(yàn)證請(qǐng)求的用戶名和密碼。

對(duì)于這些更高級(jí)的方案，我們需要定義自定義身份驗(yàn)證提供程序：

@Component
public class CustomAuthenticationProvider
 implements AuthenticationProvider {
 
 @Override
 public Authentication authenticate(Authentication authentication) 
  throws AuthenticationException {
 
  String name = authentication.getName();
  String password = authentication.getCredentials().toString();
   
  if (shouldAuthenticateAgainstThirdPartySystem()) {
 
   // use the credentials
   // and authenticate against the third-party system
   return new UsernamePasswordAuthenticationToken(
    name, password, new ArrayList<>());
  } else {
   return null;
  }
 }
 
 @Override
 public boolean supports(Class<?> authentication) {
  return authentication.equals(
   UsernamePasswordAuthenticationToken.class);
 }
}

請(qǐng)注意，在返回的Authentication對(duì)象上設(shè)置的授予權(quán)限是空的 - 這是因?yàn)闄?quán)限當(dāng)然是特定于應(yīng)用程序的。

3.注冊(cè)Authentication Provider

既然定義了身份驗(yàn)證提供程序，我們需要使用可用的命名空間支持在XML安全配置中指定它：

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
 xmlns="http://www.springframework.org/schema/security"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xmlns:beans="http://www.springframework.org/schema/beans"
 xsi:schemaLocation="
 http://www.springframework.org/schema/security 
 http://www.springframework.org/schema/security/spring-security-4.0.xsd
 http://www.springframework.org/schema/beans 
 http://www.springframework.org/schema/beans/spring-beans-4.2.xsd">
 
 <http use-expressions="true">
  <intercept-url pattern="/**" access="isAuthenticated()"/>
  <http-basic/>
 </http>
 
 <authentication-manager>
  <authentication-provider
   ref="customAuthenticationProvider" />
 </authentication-manager>
 
</beans:beans>

4. Java Configuration

接下來，我們來看看相應(yīng)的Java配置：

@Configuration
@EnableWebSecurity
@ComponentScan("org.baeldung.security")
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
 @Autowired
 private CustomAuthenticationProvider authProvider;
 
 @Override
 protected void configure(
  AuthenticationManagerBuilder auth) throws Exception {
 
  auth.authenticationProvider(authProvider);
 }
 
 @Override
 protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests().anyRequest().authenticated()
   .and()
   .httpBasic();
 }
}

5. 測(cè)試認(rèn)證

無論是否在后端使用此自定義身份驗(yàn)證提供程序，從客戶端請(qǐng)求身份驗(yàn)證基本相同 - 我們可以使用簡(jiǎn)單的curl命令發(fā)送經(jīng)過身份驗(yàn)證的請(qǐng)求：

curl --header "Accept:application/json" -i --user user1:user1Pass 
 http://localhost:8080/spring-security-custom/api/foo/1

請(qǐng)注意 - 出于本示例的目的 - 我們已使用基本身份驗(yàn)證保護(hù)REST API。

我們從服務(wù)器返回預(yù)期的200 OK

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=B8F0EFA81B78DE968088EBB9AFD85A60; Path=/spring-security-custom/; HttpOnly
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Sun, 02 Jun 2013 17:50:40 GMT

六，總結(jié)

在本文中，我們討論了Spring Security的自定義身份驗(yàn)證提供程序的示例。

可以在GitHub項(xiàng)目中找到本教程的完整實(shí)現(xiàn) - 這是一個(gè)基于Maven的項(xiàng)目，因此它應(yīng)該很容易導(dǎo)入和運(yùn)行。

好了，以上就是這篇文章的全部?jī)?nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，謝謝大家對(duì)腳本之家的支持。

您可能感興趣的文章: