스프링 부트 보안은 사용자 정의 AuthenticationProvider를 가진 역할을 존중하지 않습니다.

Question

저는 자체 인증 공급자를 만들고 있습니다. 지금은 그냥 정적 사용자 이름과 비밀 번호를 확인하고 있지만 나중에 뭔가가 더 고급으로 바뀝니다, 그래서 내가 그 동안 커스텀 공급자를 사용하지 않아도된다. 추가 코드는 아직 추가하지 않았습니다.

이것이 내 부서진 상태의 코드입니다.

내 사용자 정의 인증 제공자 :

import com.comcast.iot.das.auth.SatAuthenticationProvider; 
import org.slf4j.Logger; 
import org.slf4j.LoggerFactory; 
import org.springframework.beans.factory.annotation.Autowired; 
import org.springframework.context.annotation.Configuration; 
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; 
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; 
import org.springframework.security.config.annotation.web.builders.HttpSecurity; 
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; 
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; 

@Configuration 
@EnableWebSecurity 
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) 
public class DeviceSecurityConfig extends WebSecurityConfigurerAdapter { 

    private static final Logger LOGGER = LoggerFactory.getLogger(SatAuthenticationProvider.class); 

    @Autowired 
    private SatAuthenticationProvider satAuthenticationProvider; 

    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
    LOGGER.info("*** configuring http"); 
    http.authorizeRequests().anyRequest() 
     .hasRole("USER") 
     .and() 
     .httpBasic(); 
    } 

    @Autowired 
    public void configure(AuthenticationManagerBuilder auth) throws Exception { 
    LOGGER.info("*** Setting builder"); 
    auth.authenticationProvider(this.satAuthenticationProvider); 
    } 
} 

지금은없는 사용자와 암호를 사용하여 엔드 포인트를 칠 컬 사용하는 경우 내가 이것을 실행하면 다음

import org.slf4j.Logger; 
import org.slf4j.LoggerFactory; 
import org.springframework.security.authentication.AuthenticationProvider; 
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; 
import org.springframework.security.core.Authentication; 
import org.springframework.security.core.AuthenticationException; 
import org.springframework.security.core.GrantedAuthority; 
import org.springframework.security.core.authority.SimpleGrantedAuthority; 
import org.springframework.stereotype.Component; 

import java.util.ArrayList; 
import java.util.List; 

@Component 
public class SatAuthenticationProvider implements AuthenticationProvider { 

    private static final Logger LOGGER = LoggerFactory.getLogger(SatAuthenticationProvider.class); 

    public SatAuthenticationProvider() { 
    LOGGER.info("*** CustomAuthenticationProvider created"); 
    } 

    @Override 
    public boolean supports(Class<? extends Object> authentication) { 
    return (UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication)); 
    } 

    @Override 
    public Authentication authenticate(Authentication authentication) throws AuthenticationException { 

    LOGGER.info("*** Creating authentication"); 
    if (authentication.getName().equals("test") && authentication.getCredentials().equals("test")) { 
     List<GrantedAuthority> grantedAuths = new ArrayList<>(); 
     grantedAuths.add(new SimpleGrantedAuthority("USER")); 
     grantedAuths.add(new SimpleGrantedAuthority("ADMIN")); 
     return new UsernamePasswordAuthenticationToken(authentication.getName(), authentication.getCredentials(), grantedAuths); 
    } else { 
     return null; 
    } 

    } 
} 

가 소모 내 보안 구성입니다 지정한 다음과 같습니다 :

% curl http://localhost:8080/molecule 
{ 
    "timestamp" : 1505925047977, 
    "status" : 401, 
    "error" : "Unauthorized", 
    "message" : "Full authentication is required to access this resource", 
    "path" : "/molecule" 
} 

올바른 사용자 이름을 지정하고 통과하면 나는 그것을 얻을 수 내가 직접 작업 역할을 취득하지 못할 때,

% curl -u test:test2 http://localhost:8080/molecule 
{ 
    "timestamp" : 1505925199406, 
    "status" : 401, 
    "error" : "Unauthorized", 
    "message" : "No AuthenticationProvider found for org.springframework.security.authentication.UsernamePasswordAuthenticationToken", 
    "path" : "/molecule" 
} 

마지막 요점 : 나는 다음을 얻을 잘못된 사용자 이름과 암호를 지정하는 경우, 마지막으로

% curl -u test:test http://localhost:8080/molecule 
{ 
    "timestamp" : 1505925033015, 
    "status" : 403, 
    "error" : "Forbidden", 
    "message" : "Access is denied", 
    "path" : "/molecule" 
} 

: 단어 나는 다음과 같은 수 사용자가 전혀 인증되지 않았는지 테스트하고 권한을 부여하기 위해 사용합니다. 이것은 역할을 필요로하기 때문에 가능한 해결책은 아니지만이 질문에 대한 답변을 얻으려는 사람에게 어떤 힌트를 줄 수 있습니다. 예상대로 역할을 추가 할 수있는 방법이 없지만 내 컬 요청 (적어도 제대로 작동 않는 코드의 새로운 버전으로

@Override 
    protected void configure(HttpSecurity http) throws Exception { 
    LOGGER.info("*** configuring http"); 
    http.authorizeRequests().anyRequest() 
     .authenticated() 
     .and() 
     .httpBasic(); 
    } 

을 다음과 같이

그래서 나는 DeviceSecurityConfig 클래스의 구성 방법을 변경할 수 있습니다 물론) :. 방금 언급 한 코드 편집 결과가 컬입니다.

없음 사용자 이름과 암호 :

는

% curl http://localhost:8080/molecule 
{ 
    "timestamp" : 1505925444957, 
    "status" : 401, 
    "error" : "Unauthorized", 
    "message" : "Full authentication is required to access this resource", 
    "path" : "/molecule" 
} 

잘못된 암호 : 전체 응답이 나는 보통 기대하는 엔드 포인트를 형성 반환 이제 다음 명령을 사용하여

% curl -u test:test2 http://localhost:8080/molecule 
{ 
    "timestamp" : 1505925456018, 
    "status" : 401, 
    "error" : "Unauthorized", 
    "message" : "No AuthenticationProvider found for org.springframework.security.authentication.UsernamePasswordAuthenticationToken", 
    "path" : "/molecule" 
} 

올바른 암호와 사용자 이름 (생략하지).

% curl -u test:test http://localhost:8080/molecule 

Answer 1

역할 당국은 ROLE_로 시작해야합니다

grantedAuths.add(new SimpleGrantedAuthority("ROLE_USER")); 
grantedAuths.add(new SimpleGrantedAuthority("ROLE_ADMIN"));