java - 使用 java 配置进行 n 因素身份验证

标签 java spring spring-mvc authentication spring-security

在使用 spring securityspring mvc 应用程序中,我想使用自定义 AuthenticationProvider 来检查 n-number 默认 usernamepassword 之外的其他字段。我正在尝试使用 Java 配置。我应该如何设置它?

最佳答案

首先,解释一下您正在使用的接口(interface)以及它们在身份验证过程中所起的作用:

  • Authentication - 表示验证用户的结果。拥有授予该用户的权限以及可能需要的有关该用户的任何其他详细信息。由于框架无法知道需要哪些详细信息,因此身份验证对象具有 getDetails可以返回任何对象的方法

  • AuthenticationProvider - 可以以某种方式创建 Authentication 对象的对象。为了使它们更可重用,一些(或大部分)AuthenticationProvider 避免在 Authentication 对象上设置用户详细信息,因为每个应用程序可能需要特定的用户详细信息。相反,他们将解析用户详细信息的过程委托(delegate)给可设置的 UserDetailsS​​ervice

  • UserDetailsService - 一个 strategy用于检索您的应用程序中所需的用户详细信息。

因此,如果您正在创建自定义 AuthenticationProvider,您甚至可能不需要以需要 UserDetailsS​​ervice 的方式实现它。决定权取决于您,取决于您是否计划在其他项目中重用您的实现。

至于代码中的编译问题,您正在混合提供 UserDetailsS​​ervice 的两种方式。在 CustomAuthenticationProvider 中,您使用 @Inject 注释对 userService 字段进行了注释。这意味着容器(在您的情况下为 Spring 应用程序上下文)是找到一个合适的实现并在运行时使用反射将其注入(inject)该字段。通过上下文设置该字段的过程称为依赖注入(inject)。在 SecurityConfig 类中,您尝试通过您的类中不存在的 setUserDetailsS​​ervice 方法设置字段来自己提供实现。

要解决此问题,您需要决定使用其中一种方式来提供 UserDetails 服务,并且:

  • 删除 @Inject 注释并创建 setUserDetailsS​​ervice 方法,或
  • 在调用不存在的方法时删除该行并将 UserDetailsS​​ervice 的实现声明为 bean

至于你应该选择哪种方式,如果你能找到一种让你的 SecurityConfig 类在其他项目中可重用的方法,依赖注入(inject)方式可能会更好。在这种情况下,您只需导入它(通过使用 @Import 注释)并在下一个应用程序中将不同的 UserDetailsS​​erice 实现声明为 bean 并让它工作。

通常,像 SecurityConfig 这样的类并不是真正可重用的,因此创建 setter 并删除依赖注入(inject)可能是我的首选。

编辑

一个可行的,虽然是一个简单的实现(很大程度上基于这个 blog entry )将是:

public class CustomAuthenticationProvider implements AuthenticationProvider{

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String name = authentication.getName();
        String password = authentication.getCredentials().toString();
        List<GrantedAuthority> grantedAuths = new ArrayList<>();
        if (name.equals("admin") && password.equals("system")) {
            grantedAuths.add(new SimpleGrantedAuthority("ROLE_ADMIN"));  
        } 
        if(pincodeEntered(name)){
            grantedAuths.add(new SimpleGrantedAuthority("ROLE_PINCODE_USER"));  
        }
        Authentication auth = new UsernamePasswordAuthenticationToken(name, password, grantedAuths);
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }

    private boolean pincodeEntered(String userName){
        // do your check here
        return true;
    }
}

然后在您的配置类中更改以下方法:

@Bean
AuthenticationProvider customAuthenticationProvider() {
        return new CustomAuthenticationProvider();
}

关于java - 使用 java 配置进行 n 因素身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32020405/

上一篇:java - 如何正确防止缓存 302 重定向位置?

下一篇:java - Spring Boot 对于 Java Web 应用程序有哪些缺点?

相关文章:

java - Spring MVC 项目中的 Hibernate Validator

java - RCPT 至 : <rcpt@host> SMTP syntax

java - mys JSP中的迭代器错误

java - GWT 以编程方式单击文件上传

java - Java 中的素数 - 算法

java - Spring 类路径资源被覆盖

java - DB 查询很快,但 JPARepository 获取很慢

java - Spring 建议 - 提交表单

java - SessionFactory 注入(inject)不起作用

java - Spring Boot 2 没有序列化 LocalDateTime

©2024 IT工具网  联系我们