Java configuration？を使用してSpring Securityの「カスタムフィルタ」を表す方法は？

Question

同等のJava設定<custom-filter>タグ？

<http> <custom-filter position="FORM_LOGIN_FILTER" ref="myFilter"/> </http>

私は試した

http.addFilter( new MyUsernamePasswordAuthenticationFilter() )

このクラスはデフォルトのフィルターを拡張しますが、常にformLoginのデフォルトを使用します。

私のフィルター：

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.security.authentication.AuthenticationServiceException; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.Authentication; import org.springframework.security.core.AuthenticationException; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; public class MyUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter{ // proof of concept of how the http.addFilter() works @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { if (!request.getMethod().equals("POST")) { throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod()); } System.out.println("running my own version of UsernmePasswordFilter ... "); String username = obtainUsername(request); String password = obtainPassword(request); if (username == null) { username = ""; } if (password == null) { password = ""; } username = username.trim(); UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password); // Allow subclasses to set the "details" property setDetails(request, authRequest); return this.getAuthenticationManager().authenticate(authRequest); } }

関連する構成要素：

@Configuration @EnableWebMvcSecurity // annotate class configuring AuthenticationManagerBuilder @ComponentScan("com.kayjed") public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/resources/**","/signup").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); http.addFilter(new MyUsernamePasswordAuthenticationFilter()); } ... }

デバッガーでMVCアプリを実行すると、UsernamePasswordAuthenticationFilterクラスを使用するつもりではなく、デフォルトのMyUsernamePasswordAuthenticationFilterからのログイン試行認証が常に表示されます。

とにかく、私は誰かにコードをデバッグさせるつもりはありません。むしろ、XMLアプローチのcustom-filter要素に相当するものを実行するJava構成を使用した良い例を見たいと思います。ドキュメンテーションは少し簡潔です。

Aner · Answer

留意する必要があるいくつかの問題：

フィルタを追加する必要がありますbefore標準UsernamePasswordAuthenticationFilter

_ http.addFilterBefore(customUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) _

UsernamePasswordAuthenticationFilterを拡張すると、RequestMatcherを設定しない限り、何もせずにすぐにフィルターが返されます
```
_ myAuthFilter.setRequiresAuthenticationRequestMatcher( new AntPathRequestMatcher("/login","POST")); _
```

http.formLogin().x().y().z()で行う設定はすべて、ビルドするカスタムフィルターではなく、標準のUsernamePasswordAuthenticationFilterに適用されます。手動で設定する必要があります。私の認証フィルターの初期化は次のようになります。

_ @Bean public MyAuthenticationFilter authenticationFilter() { MyAuthenticationFilter authFilter = new MyAuthenticationFilter(); authFilter.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/login","POST")); authFilter.setAuthenticationManager(authenticationManager); authFilter.setAuthenticationSuccessHandler(new MySuccessHandler("/app")); authFilter.setAuthenticationFailureHandler(new MyFailureHandler("/login?error=1")); authFilter.setUsernameParameter("username"); authFilter.setPasswordParameter("password"); return authFilter; } _

programsji.com · Answer

このコードに問題は見つかりません。あなたの設定は大丈夫だと思います。問題はどこかにあります。同様のコードがありますが、

package com.programsji.config; import Java.util.ArrayList; import Java.util.List; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.AuthenticationProvider; import org.springframework.security.authentication.ProviderManager; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import com.programsji.security.CustomAuthenticationProvider; import com.programsji.security.CustomSuccessHandler; import com.programsji.security.CustomUsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/js/**", "/css/**", "/theme/**").and() .debug(true); } @Bean public CustomUsernamePasswordAuthenticationFilter customUsernamePasswordAuthenticationFilter() throws Exception { CustomUsernamePasswordAuthenticationFilter customUsernamePasswordAuthenticationFilter = new CustomUsernamePasswordAuthenticationFilter(); customUsernamePasswordAuthenticationFilter .setAuthenticationManager(authenticationManagerBean()); customUsernamePasswordAuthenticationFilter .setAuthenticationSuccessHandler(customSuccessHandler()); return customUsernamePasswordAuthenticationFilter; } @Bean public CustomSuccessHandler customSuccessHandler() { CustomSuccessHandler customSuccessHandler = new CustomSuccessHandler(); return customSuccessHandler; } @Bean public CustomAuthenticationProvider customAuthenticationProvider() { CustomAuthenticationProvider customAuthenticationProvider = new CustomAuthenticationProvider(); return customAuthenticationProvider; } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { List<AuthenticationProvider> authenticationProviderList = new ArrayList<AuthenticationProvider>(); authenticationProviderList.add(customAuthenticationProvider()); AuthenticationManager authenticationManager = new ProviderManager( authenticationProviderList); return authenticationManager; } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/reportspage").hasRole("REPORT") .antMatchers("/rawdatapage").hasRole("RAWDATA").anyRequest() .hasRole("USER").and().formLogin().loginPage("/login") .failureUrl("/login?error") .loginProcessingUrl("/j_spring_security_check") .passwordParameter("j_password") .usernameParameter("j_username").defaultSuccessUrl("/") .permitAll().and().httpBasic().and().logout() .logoutSuccessUrl("/login?logout").and().csrf().disable() .addFilter(customUsernamePasswordAuthenticationFilter()); } }

私のアプリケーションではうまく機能しています。このプロジェクト全体をurlからダウンロードできます。 https://github.com/programsji/rohit/tree/master/UsernamePasswordAuthenticationFilter

Denis C de Azevedo · Answer

@ComponentをMyUsernamePasswordAuthenticationFilterクラスに追加してみてください。

この注釈により、クラスは自動検出の候補と見なされます。 @ Component を参照してください

このため：

<custom-filter position="FORM_LOGIN_FILTER" ref="myFilter"/>

これを追加できます：

.addFilter[Before|After](authenticationTokenProcessingFilter, UsernamePasswordAuthenticationFilter.class)

参照：標準のフィルターエイリアスと順序