CAS 및 폼 로그인을 통한 스프링 보안

Question

직원을 위해 CAS 인증을 사용해야하는 응용 프로그램과 고객을 위해 사용자 이름/암호 폼 로그인 (데이터베이스 테이블에 대해 유효성을 검사 함)을 작성하고 있습니다.

아이디어는 프론트 페이지에 직원 (여기서는 "직원 인 경우 여기를 클릭하십시오")에 CAS를 보내고 직원 이하의 사용자 이름은 & 암호 상자 아래에 링크가 있습니다.

두 가지 모두 Spring Security의 샘플 애플리케이션을 기반으로하는 별도의 테스트 애플리케이션에서 작동하지만 두 인증 프로 바이더를 하나로 결합하는 방법이 명확하지 않습니다.

현재 설정 - 양식의 설정과 CAS의 설정이 추가 주로에서 : 나는 체인에 모두 필터를 넣을 수있는 방법

Filter beans '<casFilter>' and '<org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#0>' have the same 'order' value. 

:

<?xml version="1.0" encoding="UTF-8"?> 
<beans xmlns="http://www.springframework.org/schema/beans" 
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xmlns:security="http://www.springframework.org/schema/security" 

     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd 
          http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"> 



    <!--Set up the url based security features--> 
    <security:http entry-point-ref="casEntryPoint" use-expressions="true" > 
     <security:custom-filter position="FORM_LOGIN_FILTER" ref="casFilter" /> 
     <security:logout logout-success-url="${cas.sso}/logout" /> 
     <security:access-denied-handler ref="accessDeniedHandler" /> 

<!-- Set up the form login --> 
     <security:form-login login-page="/login.jsp" authentication-failure-  url="/login.jsp?login_error=1"/> 

    </security:http> 

    <!-- Specify a destinatation for 403 errors raised by the above URL patterns 
     this is performed as a 'forward' internally --> 
    <bean id="accessDeniedHandler" 
      class="org.springframework.security.web.access.AccessDeniedHandlerImpl"> 
     <property name="errorPage" value="/error/403.html"/> 
    </bean> 

    <!--Hook in the properties for the CAS--> 
    <bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties"> 
     <property name="service" value="${cas.service}"/> 
     <property name="sendRenew" value="true"/> 
    </bean> 

    <!--Set up the CAS filter--> 
    <bean id="casFilter" 
      class="org.springframework.security.cas.web.CasAuthenticationFilter"> 
     <property name="authenticationManager" ref="authenticationManager"/> 
     <property name="authenticationFailureHandler" ref="accessFailureHandler" /> 
    </bean> 

    <!-- Specify a destinatation for 401 errors raised by casFilter (and UserService) --> 
    <bean id='accessFailureHandler' 
      class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler"> 
     <property name="defaultFailureUrl" value="/error/401.html" /> 
     <property name="useForward" value='true' /> 
     <property name="allowSessionCreation" value="false" /> 
    </bean> 

    <!--Set up the entry point for CAS--> 
    <bean id="casEntryPoint" 
      class="org.springframework.security.cas.web.CasAuthenticationEntryPoint"> 
     <property name="loginUrl" value="${cas.sso}"/> 
     <property name="serviceProperties" ref="serviceProperties"/> 
     <property name="encodeServiceUrlWithSessionId" value="false"/> 
    </bean> 

    <!--Setup authentication managers--> 
    <security:authentication-manager alias="authenticationManager"> 
     <security:authentication-provider ref="casAuthenticationProvider"/> 
     <security:authentication-provider ref="customAuthenticationProvider"/> 
    </security:authentication-manager> 

    <!-- Our own user details service, which hooks in to the database --> 
    <bean id='userService' class='test.security.UserDetailsServiceImpl' /> 

    <!-- Enable annotations --> 
    <security:global-method-security pre-post-annotations="enabled"/> 

    <!-- Customise an auth provider with the local specifics--> 
    <bean id="casAuthenticationProvider" 
      class="org.springframework.security.cas.authentication.CasAuthenticationProvider"> 
     <property name="userDetailsService" ref="userService"/> 
     <property name="serviceProperties" ref="serviceProperties"/> 
     <property name="ticketValidator"> 
      <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator"> 
       <constructor-arg index="0" value="${cas.sso}"/> 
      </bean> 
     </property> 
     <property name="key" value="testSSO"/> 
    </bean> 

<!-- Custom auth provider that validates usernames&pwds against DB --> 
    <bean id="customAuthenticationProvider" class="test.security.CustomAuthenticationProvider" />  

</beans> 

이 오류 메시지를 제공? 아니면 (어쨌든?) 어떤 방법이 선택되는지 알고 관련 필터를 위임하는 자체 필터를 작성해야합니까?

저는 스프링 보안에 익숙하지 않으므로 이것을 전적으로하기위한 더 좋은 방법이 있습니까?

감사합니다.

Answer 1

casFilter는 CAS_FILTER 위치에 있어야합니다.