使用 Spring Security 为基本身份验证和 JWT 配置多种身份验证类型
我有一个 API,需要通过两种不同的方式来保护:
1) 对除 1 之外的所有请求 URL 使用 JWT,这些请求 URL 需要通过基本身份验证进行保护
2) 一个 url 的基本身份验证。
我已经为 JWT 和基本身份验证设置了安全配置。我的问题是,当我使用有效的用户名和密码向基本身份验证 URL 发出请求时,它成功地对我进行了身份验证,并完成了在 cassandra 中存储数据的工作。
然后,我希望必须通过 /api/login 为所有其他请求 URL 生成令牌,并将其添加到 Authorization: Bearer {Token} 标头中。
但是,如果我通过基本身份验证进行了身份验证,则我可以访问其他 URL(受 JWT 身份验证保护),甚至无需在请求中包含令牌。
当我在没有使用基本身份验证的情况下访问受 JWT 保护的 URL 时,我必须在标头中发送令牌,并且它会按预期工作。
我应该期待这个吗?我相信,即使我通过一个端点的基本身份验证进行了身份验证,我仍然应该在所有其他受保护的 JWT 端点的请求中发送令牌。
我找到了这个答案: SpringBoot multipleauthenticationadapter
还有这篇文章: https://docs.spring.io/spring-security/site/docs/4.2.x/reference/htmlsingle/#multiple-httpsecurity
并尝试实施解决方案,但所解释的问题仍然出现。
使用 BasicAuthEntryPoint 类:
public class CustomBasicAuthenticationEntryPoint extends BasicAuthenticationEntryPoint {
private static final Gson gson = new Gson();
@Override
public void commence(final HttpServletRequest request, final HttpServletResponse response,
final AuthenticationException authException) throws IOException, ServletException {
// Authentication failed, send error response.
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
PrintWriter writer = response.getWriter();
writer.println(gson.toJson("HTTP Status 401 : " + authException.getMessage()));
}
@Override
public void afterPropertiesSet() throws Exception {
setRealmName("Realm");
super.afterPropertiesSet();
}
还有 JWT impl:
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
@Value("${jwt.header}")
private String tokenHeader;
我希望这是有道理的。如果还有其他问题,请告诉我,但似乎无法解决这个问题。
我首先添加了“特殊情况”,这是基本身份验证的一个 url,但仍然没有任何区别。
谢谢
慕村2256942回答
-
牧羊人nacy
您在安全配置中发布的代码@Order(1)@Overrideprotected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests().antMatchers("/v1/crash/consumeCrashBoxxEvent").hasRole("ADMIN").and() .httpBasic().authenticationEntryPoint(getBasicAuthEntryPoint()).and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS);}如果这正是您正在使用的代码,则@Order(2)不会咨询您的配置。这将是死配置。让我解释!http.authorizeRequests()==http.antMatcher("/**").authorizeRequests()在你的第一个配置中,你使用了通配符,你的配置结果是/v1/crash/consumeCrashBoxxEvent如果用户经过身份验证并且具有 ADMIN 角色,则可以访问Rest of URL's如果用户通过身份验证则可以访问让我猜猜发生了什么!1. 您正在点击 URL /v1/crash/consumeCrashBoxxEvent,否则any URL系统将提示您进行基本身份验证。2. 身份验证成功后,您可以访问任何 URL,因为您是经过身份验证的用户。但是,如果我通过基本身份验证进行了身份验证,则我可以访问其他 URL(受 JWT 身份验证保护),甚至无需在请求中包含令牌。因为正如我所说,您可以访问任何 URL,因为您是经过身份验证的用户当我在没有使用基本身份验证的情况下访问受 JWT 保护的 URL 时,我必须在标头中发送令牌,并且它会按预期工作检查没有令牌您是否可以访问。因为一旦您通过基本身份验证登录,就不会从服务器端注销(即使您重新启动服务器)。只有关闭浏览器才能实现注销。因此,您可以通过关闭并再次启动浏览器来测试它。并通过不发送 JWT 令牌来测试它。还要确保您的请求到达 JwtAuthenticationTokenFilter,放入调试日志进行验证。正如您的问题中有很多抽象,除非您发布完整的代码,否则很难准确预测正在发生的情况。如果我的预测与实际有所偏差,请在评论中告诉我。 -
holdtom
这是通过使用 Praveen Kumar Lalasangi 的上述答案中提供的信息解决的。对方法的一个小改变configure就达到了目的。更新是:@Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .antMatcher(crashBoxxConsumeEndpoint).authorizeRequests().anyRequest() .hasRole("ADMIN") .and().httpBasic().authenticationEntryPoint(getBasicAuthEntryPoint()) .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); }
随时随地看视频慕课网APP
相关分类
Java