预认证场景

示例包括 X.509、Siteminder 以及应用程序运行所在的 Java EE 容器进行的认证。使用预认证时,Spring Security 需要

  • 识别发出请求的用户。

  • 获取用户的权限。

具体细节取决于外部认证机制。在 X.509 情况下,用户可能通过其证书信息识别;在 Siteminder 情况下,可能通过 HTTP 请求头识别。如果依赖容器认证,则通过调用传入 HTTP 请求的 getUserPrincipal() 方法来识别用户。在某些情况下,外部机制可能会提供用户的角色和权限信息。但在其他情况下,您必须从单独的源获取权限,例如 UserDetailsService

预认证框架类

因为大多数预认证机制遵循相同的模式,Spring Security 有一组类提供了一个内部框架,用于实现预认证提供者。这消除了重复,并允许以结构化的方式添加新的实现,而无需从头开始编写所有内容。如果您想使用 X.509 认证之类的功能,则无需了解这些类,因为它已经提供了一个更易于使用和入门的命名空间配置选项。如果您需要使用显式的 bean 配置或计划编写自己的实现,则需要了解所提供的实现如何工作。您可以在 org.springframework.security.web.authentication.preauth 包下找到这些类。此处我们仅提供一个概要,因此您应酌情查阅 Javadoc 和源代码。

AbstractPreAuthenticatedProcessingFilter

此类检查安全上下文的当前内容,如果为空,则尝试从 HTTP 请求中提取用户信息并提交给 AuthenticationManager。子类覆盖以下方法以获取此信息。

覆盖 AbstractPreAuthenticatedProcessingFilter

  • Java

  • Kotlin

protected abstract Object getPreAuthenticatedPrincipal(HttpServletRequest request);

protected abstract Object getPreAuthenticatedCredentials(HttpServletRequest request);
protected abstract fun getPreAuthenticatedPrincipal(request: HttpServletRequest): Any?

protected abstract fun getPreAuthenticatedCredentials(request: HttpServletRequest): Any?

调用这些方法后,过滤器会创建一个包含返回数据的 PreAuthenticatedAuthenticationToken 并将其提交进行认证。这里的“认证”实际上只是指进一步处理,例如加载用户的权限,但遵循的是标准的 Spring Security 认证架构。

与其他 Spring Security 认证过滤器一样,预认证过滤器有一个 authenticationDetailsSource 属性,默认情况下会创建一个 WebAuthenticationDetails 对象,用于在 Authentication 对象的 details 属性中存储额外信息,例如会话标识符和源 IP 地址。如果可以从预认证机制获取用户角色信息,则数据也存储在此属性中,详细信息实现了 GrantedAuthoritiesContainer 接口。这使得认证提供者可以读取外部分配给用户的权限。接下来我们将看一个具体示例。

J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource

如果过滤器配置了 authenticationDetailsSource(它是此类的一个实例),则通过为每个预定义的“可映射角色”调用 isUserInRole(String role) 方法来获取权限信息。此类从配置的 MappableAttributesRetriever 中获取这些信息。可能的实现包括在应用上下文中硬编码列表,以及从 web.xml 文件中的 <security-role> 信息读取角色信息。预认证示例应用程序使用了后一种方法。

还有一个附加阶段,使用配置的 Attributes2GrantedAuthoritiesMapper 将角色(或属性)映射到 Spring Security 的 GrantedAuthority 对象。默认情况下,它只是将通常的 ROLE_ 前缀添加到名称中,但这让您可以完全控制其行为。

PreAuthenticatedAuthenticationProvider

预认证提供者只需加载用户的 UserDetails 对象即可,别无其他。它通过委托给 AuthenticationUserDetailsService 来实现此目的。后者类似于标准的 UserDetailsService,但接受 Authentication 对象而不仅仅是用户名

public interface AuthenticationUserDetailsService {
	UserDetails loadUserDetails(Authentication token) throws UsernameNotFoundException;
}

此接口可能还有其他用途,但在预认证中,它允许访问打包在 Authentication 对象中的权限,正如我们在上一节中所见。PreAuthenticatedGrantedAuthoritiesUserDetailsService 类实现了这一点。另外,它也可以通过 UserDetailsByNameServiceServiceWrapper 实现委托给标准的 UserDetailsService

Http403ForbiddenEntryPoint

AuthenticationEntryPoint 负责启动未认证用户的认证过程(当他们尝试访问受保护资源时)。但在预认证情况下,这不适用。只有当您不将预认证与其他认证机制结合使用时,才会配置 ExceptionTranslationFilter 来使用此类的一个实例。如果用户被 AbstractPreAuthenticatedProcessingFilter 拒绝,导致认证为空,则会调用它。如果被调用,它总是返回 403 禁止响应码。

具体实现

X.509 认证在其自己的章节中介绍。这里,我们来看一些为其他预认证场景提供支持的类。

请求头认证 (Siteminder)

外部认证系统可以通过在 HTTP 请求上设置特定头来向应用程序提供信息。一个众所周知的示例是 Siteminder,它将用户名通过名为 SM_USER 的头传递。RequestHeaderAuthenticationFilter 类支持这种机制,它只从头中提取用户名。默认情况下,它使用名称 SM_USER 作为头名称。更多详细信息请参阅 Javadoc。

使用此类系统时,框架完全不执行任何认证检查,并且极其重要的一点是外部系统必须正确配置并保护对应用程序的所有访问。如果攻击者能够在不被检测的情况下伪造其原始请求中的头,他们就可以随意选择任何用户名。

Siteminder 配置示例

以下示例显示了使用此过滤器的一个典型配置

<security:http>
<!-- Additional http configuration omitted -->
<security:custom-filter position="PRE_AUTH_FILTER" ref="siteminderFilter" />
</security:http>

<bean id="siteminderFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
<property name="principalRequestHeader" value="SM_USER"/>
<property name="authenticationManager" ref="authenticationManager" />
</bean>

<bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
	<bean id="userDetailsServiceWrapper"
		class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
	<property name="userDetailsService" ref="userDetailsService"/>
	</bean>
</property>
</bean>

<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="preauthAuthProvider" />
</security:authentication-manager>

此处我们假设使用了安全命名空间进行配置。还假设您已在配置中添加了一个 UserDetailsService(名为 "userDetailsService")来加载用户的角色。

Java EE 容器认证

J2eePreAuthenticatedProcessingFilter 类从 HttpServletRequestuserPrincipal 属性中提取用户名。使用此过滤器通常会与 Java EE 角色的使用结合,如前面J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource 中所述。

在代码库中有一个使用此方法的示例应用程序,如果您有兴趣,可以从 Github 获取代码并查看其应用程序上下文文件。