Spring Securityの複数の認証プロバイダー
1. 概要
この簡単な記事では、複数のメカニズムを使用してSpringSecurityでユーザーを認証することに焦点を当てます。
これを行うには、複数の認証プロバイダーを構成します。
2. 認証プロバイダー
AuthenticationProviderは、特定のリポジトリ(database、LDAP、custom third party sourceなど)からユーザー情報をフェッチするための抽象化です。 ). 取得したユーザー情報を使用して、提供された資格情報を検証します。
簡単に言うと、複数の認証プロバイダーが定義されている場合、プロバイダーは宣言された順序で照会されます。
簡単なデモンストレーションとして、カスタム認証プロバイダーとインメモリ認証プロバイダーの2つの認証プロバイダーを構成します。
3. Mavenの依存関係
まず、必要なSpringSecurityの依存関係をWebアプリケーションに追加しましょう。
org.springframework.boot
spring-boot-starter-web
org.springframework.boot
spring-boot-starter-security
そして、Spring Bootなし:
org.springframework.security
spring-security-web
5.0.4.RELEASE
org.springframework.security
spring-security-core
5.0.4.RELEASE
org.springframework.security
spring-security-config
5.0.4.RELEASE
これらの依存関係の最新バージョンは、spring-security-web、spring-security-core、およびspring-security-configにあります。
4. カスタム認証プロバイダー
AuthneticationProviderインターフェイス.を実装して、カスタム認証プロバイダーを作成しましょう
認証を試みるauthenticateメソッドを実装します。 入力Authenticationオブジェクトには、ユーザーが指定したユーザー名とパスワードの資格情報が含まれています。
認証が成功すると、authenticateメソッドは完全に入力されたAuthenticationオブジェクトを返します。 認証が失敗すると、タイプAuthenticationExceptionの例外がスローされます。
@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
@Override
public Authentication authenticate(Authentication auth)
throws AuthenticationException {
String username = auth.getName();
String password = auth.getCredentials()
.toString();
if ("externaluser".equals(username) && "pass".equals(password)) {
return new UsernamePasswordAuthenticationToken
(username, password, Collections.emptyList());
} else {
throw new
BadCredentialsException("External system authentication failed");
}
}
@Override
public boolean supports(Class auth) {
return auth.equals(UsernamePasswordAuthenticationToken.class);
}
}
当然、これはここの例の目的のための単純な実装です。
5. 複数の認証プロバイダーの構成
ここで、CustomAuthenticationProviderとインメモリ認証プロバイダーをSpringSecurity構成に追加しましょう。
5.1. Java設定
構成クラスで、AuthenticationManagerBuilderを使用して認証プロバイダーを作成および追加しましょう。
最初にCustomAuthenticationProvider、次にinMemoryAuthentication()を使用したメモリ内認証プロバイダー。
また、URLパターン「/api/**」へのアクセスを認証する必要があることも確認しています。
@EnableWebSecurity
public class MultipleAuthProvidersSecurityConfig
extends WebSecurityConfigurerAdapter {
@Autowired
CustomAuthenticationProvider customAuthProvider;
@Override
public void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.authenticationProvider(customAuthProvider);
auth.inMemoryAuthentication()
.withUser("memuser")
.password(encoder().encode("pass"))
.roles("USER");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic()
.and()
.authorizeRequests()
.antMatchers("/api/**")
.authenticated();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
5.2. XML構成
あるいは、Java構成の代わりにXML構成を使用する場合:
6. アプリケーション
次に、2つの認証プロバイダーによって保護される単純なRESTエンドポイントを作成しましょう。
このエンドポイントにアクセスするには、有効なユーザー名とパスワードを入力する必要があります。 認証プロバイダーは資格情報を検証し、アクセスを許可するかどうかを決定します。
@RestController
public class MultipleAuthController {
@GetMapping("/api/ping")
public String getPing() {
return "OK";
}
}
7. テスト
最後に、安全なアプリケーションへのアクセスをテストしましょう。 有効な資格情報が提供されている場合にのみアクセスが許可されます。
@Autowired
private TestRestTemplate restTemplate;
@Test
public void givenMemUsers_whenGetPingWithValidUser_thenOk() {
ResponseEntity result
= makeRestCallToGetPing("memuser", "pass");
assertThat(result.getStatusCodeValue()).isEqualTo(200);
assertThat(result.getBody()).isEqualTo("OK");
}
@Test
public void givenExternalUsers_whenGetPingWithValidUser_thenOK() {
ResponseEntity result
= makeRestCallToGetPing("externaluser", "pass");
assertThat(result.getStatusCodeValue()).isEqualTo(200);
assertThat(result.getBody()).isEqualTo("OK");
}
@Test
public void givenAuthProviders_whenGetPingWithNoCred_then401() {
ResponseEntity result = makeRestCallToGetPing();
assertThat(result.getStatusCodeValue()).isEqualTo(401);
}
@Test
public void givenAuthProviders_whenGetPingWithBadCred_then401() {
ResponseEntity result
= makeRestCallToGetPing("user", "bad_password");
assertThat(result.getStatusCodeValue()).isEqualTo(401);
}
private ResponseEntity
makeRestCallToGetPing(String username, String password) {
return restTemplate.withBasicAuth(username, password)
.getForEntity("/api/ping", String.class, Collections.emptyMap());
}
private ResponseEntity makeRestCallToGetPing() {
return restTemplate
.getForEntity("/api/ping", String.class, Collections.emptyMap());
}
8. 結論
このクイックチュートリアルでは、SpringSecurityで複数の認証プロバイダーを構成する方法を説明しました。 カスタム認証プロバイダーとメモリ内認証プロバイダーを使用して、単純なアプリケーションを保護しました。
また、アプリケーションへのアクセスに、少なくとも1つの認証プロバイダーが検証できる資格情報が必要であることを確認するためのテストも作成しました。
いつものように、実装の完全なソースコードはover on GitHubにあります。