È possibile inviare più dati nell'autenticazione basata su form in primavera?

StackOverflow https://stackoverflow.com/questions/1629273

Domanda

Sono relativamente nuovo con Spring Framework e Spring security.

Ho usato uno schema di autenticazione personalizzato, HTML: 

<form action="j_spring_security_check">
    <input type="text" name="j_username" value="abc"/>
    <input type="text" name="j_password" value="abc"/>
    <input type="text" name="myCustom1" value="pqr"/> <!-- maybe type="hidden" -->
    <input type="text" name="myCustom2" value="pqr"/> <!-- maybe type="hidden" -->
</form>

e il codice corrispondente: 

public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider
{
    @Override protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
    throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication)
    throws AuthenticationException
    {
        System.out.println("Method invoked : retrieveUser");
        //I have Username,password:
        //HOW CAN I ACCESS "myCustom1", "myCustom2" here ?
    }
}
È stato utile?

Soluzione

Se è necessario utilizzare parametri di modulo aggiuntivi per manipolare il nome utente e la password, è possibile implementare il proprio AuthenticationProcessingFilter

http: / /static.springsource.org/spring-security/site/apidocs/org/springframework/security/ui/webapp/AuthenticationProcessingFilter.html

Questa classe avrà pieno accesso a HttpRequest e quindi a tutti i parametri aggiuntivi che invii. Se il tuo obiettivo è in qualche modo utilizzare questi valori per modificare il nome utente e la password, è qui che lo faresti.

Altri suggerimenti

Tutti sopra sono soluzioni eccezionali e perfette. Ma ho usato una soluzione alternativa che funziona perfettamente. ID multitenant utilizzato per ThreadLocal 

package com.mypackage.servlet;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.springframework.util.Assert;

public class ThreadLocalContextUtil implements Filter{
     private static final ThreadLocal<Object> contextHolder =
                new ThreadLocal<Object>();

       public static void setTenantId(Object tenantId) {
          Assert.notNull(tenantId, "customerType cannot be null");
          contextHolder.set(tenantId);
       }

       public static Object getTenantId() {
          return contextHolder.get();
       }

       public static void clearTenant() {
          contextHolder.remove();
       }

    public void destroy() {

    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // Set the tenant Id into a ThreadLocal object
        ThreadLocalContextUtil.setTenantId(request);
        if(chain != null)
            chain.doFilter(request, response);
        else {
            //error
        }
    }

    public void init(FilterConfig filterconfig) throws ServletException {

    }
}

spring security xml     

<security:http auto-config="true" use-expressions="true" access-denied-page="/forms/auth/403" >
    <security:custom-filter before="FIRST" ref="tenantFilter" />
    ......
    </security:http>

Oggetto richiesta di accesso nella tua classe di autenticazione 

HttpServletRequest currRequest = (HttpServletRequest) ThreadLocalContextUtil.getTenantId();

Quindi usa l'oggetto richiesta per ottenere i tuoi parametri personalizzati

Il trucco qui è che devi creare un nuovo AuthenicationToken (forse) che estende UsernameAndPasswordAuthenicationToken e come dice @emills devi quindi implementare un nuovo AuthenciationProcessingFilter per mappare i valori di richiesta sul token e inviarli al Gestore di autenticazione.

Fondamentalmente ci sono un paio di parti per implementare una catena di autenticazione personalizzata in sicurezza di primavera

  • AuthenicationToken : dettagli della richiesta di autenticazione e del relativo risultato, ovvero contiene le credenziali necessarie per l'autenticazione
  • AuthenicationProvider - registrato con AuthenicationManager, accetta AuthenicationToken e convalida l'utente e restituisce un token con le autorizzazioni concesse impostate
  • AuthenciationFilter - in realtà non deve essere un filtro solo usando AbstractProcessingFilter renderà la tua vita un po 'più semplice

Vorrei andare in questo modo: 

<bean id="authenticationProcessingFilter"  
    class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
  ...
  <property name="authenticationDetailsSource">
    <bean class="org.acegisecurity.ui.AuthenticationDetailsSourceImpl">
        <property name="clazz"  
           value="com.MyAuthenticationDetails"/>
    </bean>
  </property>
</bean>

Questa è la classe che contiene le proprietà: 

package com;
import javax.servlet.http.HttpServletRequest;
import org.acegisecurity.ui.WebAuthenticationDetails;
public class MyAuthenticationDetails extends WebAuthenticationDetails {
    public MyAuthenticationDetails() {
      super();
    }
    //This constructor will be invoqued by the filter
    public MyAuthenticationDetails(HttpServletRequest request) {
        super(request);
        this.myCustom1 = request.getParameter("myCustom1");
    }
    public String getMyCustom1() {
        return myCustom1;
    }
    private String myCustom1;
}

Ora hai il nome utente, la password e i dettagli.

Ho fatto una cosa simile, ma diversa da quella che qualcuno ha suggerito qui. Non sto dicendo che questo è il "giusto" modo di farlo - ma ha funzionato molto bene per me. Nell'oggetto Principal è presente l'utente e nell'AutentationToken è presente anche un oggetto Dettagli che consente di memorizzare una mappa (stringa, stringa) di altre informazioni di accesso. 

public class RequestFormDeatils extends SpringSecurityFilter {

   protected void doFilterHttp(HttpServletRequest request, ...) {
      SecurityContext sec = SecurityContextHolder.getContent();
      AbstractAuthenticationToken auth = (AbstractAuthenticationToken)sec.getAuthentication();
      Map<String, String> m = new HashMap<String, String>;
      m.put("myCustom1", request.getParamtere("myCustom1"));
      m.put("myCustom2", request.getParameter("myCustom2"));
      auth.setDetails(m);
}

Ora ovunque nel tuo codice puoi usare SecurityContext per propagare queste informazioni relative alla sicurezza senza doverle accoppiare all'oggetto UserDetails o passarle come argomenti. Faccio questo codice in un SecurityFilter alla fine della catena Spring Security Filter. 

<bean id="requestFormFilter" class="...RequestFormDetails">
   <custom-filter position="LAST" />
</bean>
Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top