Авторизация в spring security

@dedlovscky · Регистрация: 06.03.2015

Студворк — интернет-сервис помощи студентам

Всем привет!
Аутентификация пользователей происходит на отдельном севере.
Он дает клиенту токен, с этим токеном клиент делает запрос к серверу ресурсов.
Spring Security все запросы помечает как анонимные.

Вот что на стороне сервера ресурсов

Фильтр авторизации запросов

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
public class JwtAuthorizationFilter extends OncePerRequestFilter {
 
    private SystemUser systemUser;
    private final AuthenticationManager authenticationManager;
 
    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }
 
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        Authentication authentication = getAuthentication(request);
 
        if (authentication == null) {
            filterChain.doFilter(request, response);
            return;
        }
 
        request.setAttribute("systemUser", systemUser);
 
        authenticationManager.authenticate(authentication);
 
        SecurityContextHolder.getContext().setAuthentication(authentication);
 
        filterChain.doFilter(request, response);
    }
 
    private Authentication getAuthentication(HttpServletRequest request) {
        String token = request.getHeader(SecurityConstants.TOKEN_HEADER);
 
        if (!StringUtils.isEmpty(token) && token.startsWith(SecurityConstants.TOKEN_PREFIX)) {
            byte[] signingKey = SecurityConstants.JWT_SECRET.getBytes();
            Jws<Claims> parsedToken;
 
            try {
                parsedToken = Jwts.parser()
                        .setSigningKey(signingKey)
                        .parseClaimsJws(token.replace("Bearer ", ""));
            }catch (Exception e){
                return null;
            }
 
            systemUser = new ObjectMapper().convertValue(parsedToken.getBody(), SystemUser.class);
 
            return new UsernamePasswordAuthenticationToken(systemUser.getUserId().toString(), systemUser.getCompanyId().toString(), systemUser.getGrantedAuthority());
        }
 
        return null;
    }
}

Реализация AuthenticationProvider

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
@Component
public class SystemAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (authentication == null) {
            throw new BadCredentialsException("Authentication failed");
        } else {
            return authentication;
        }
    }
    @Override
    public boolean supports(Class<?>aClass) {
        return aClass.equals(UsernamePasswordAuthenticationToken.class);
    }
}

Конфигурация

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private SystemAccessDeniedHandler systemAccessDeniedHandler;
    @Autowired
    private SystemAuthenticationEntryPoint systemAuthenticationEntryPoint;
    @Autowired
    private SystemAuthenticationProvider systemAuthenticationProvider;
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
                .and()
                    .formLogin().disable()
                    .logout().disable()
                    .csrf().disable()
                    .httpBasic().disable()
                .authorizeRequests()
                    .antMatchers(SecurityConstants.SOURCES.get(Role.NONE)).permitAll()
                    .antMatchers(SecurityConstants.SOURCES.get(Role.ARCHITECT)).hasRole(Role.ARCHITECT.name())
                    .antMatchers(SecurityConstants.SOURCES.get(Role.ADMINISTRATOR)).hasRole(Role.ADMINISTRATOR.name())
                    .anyRequest().authenticated()
                .and()
//                    .addFilter(new JwtAuthenticationFilter(authenticationManager()))
                    .addFilterBefore(new JwtAuthorizationFilter(authenticationManager()), SecurityContextPersistenceFilter.class)
                .exceptionHandling()
                    .authenticationEntryPoint(systemAuthenticationEntryPoint)
                    .accessDeniedHandler(systemAccessDeniedHandler)
                .and()
                    .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
 
    @Override
    public void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(systemAuthenticationProvider);
    }
 
    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", new CorsConfiguration().applyPermitDefaultValues());
 
        return source;
    }
}

Пока не могу понять, чего надо ему.

@KEKCoGEN · 20.09.2019, 09:43

Сообщение от dedlovscky

Реализация AuthenticationProvider

где реализация то? Обычно создают AuthenticationToken, задают principal, authorities вот это все....

В данном упрощенном подходе с применением фильтра вообще нет необходимости в authenticationManager. Достаточно в фильтре собрать объект аутентикации и вызвать SecurityContextHolder.getContext().setAu thentication(authentication);

@dedlovscky · 20.09.2019, 20:00 **[ТС]**

Сообщение от KEKCoGEN

где реализация то? Обычно создают AuthenticationToken, задают principal, authorities вот это все....

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
@Component
public class SystemAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (authentication == null) {
            throw new BadCredentialsException("Authentication failed");
        } else {
            return authentication;
        }
    }
    @Override
    public boolean supports(Class<?>aClass) {
        return aClass.equals(UsernamePasswordAuthenticationToken.class);
    }
}

Добавлено через 1 минуту

Сообщение от KEKCoGEN

В данном упрощенном подходе с применением фильтра вообще нет необходимости в authenticationManager. Достаточно в фильтре собрать объект аутентикации и вызвать SecurityContextHolder.getContext().setAu thentication(authentication);

Только что так сделал, даже в AuthenticationProvider не зашел.
Соответственно 401 выдало.

Добавлено через 34 минуты
В этом походу уже нет смысла SecurityContextHolder.getContext().setAu thentication(authentication), кода до JwtAuthorizationFilter доходит;
Когда filterChain.doFilter() выполняется он сравнивает authentication созданный не мной а Spring Security при получении запроса.

@dedlovscky · 20.09.2019, 20:02 **[ТС]**

Вот debug

@KEKCoGEN · 21.09.2019, 10:53

dedlovscky, ну так надо свой фильтр первым ставить.

@dedlovscky · 22.09.2019, 12:55 **[ТС]**

ну это тоже не дает ничего

@dedlovscky · 22.09.2019, 12:57 **[ТС]**

Вот как теперь выглядит

@KEKCoGEN · 22.09.2019, 14:03

dedlovscky, в коде выше нигде не присваивается роль. Почему она должна быть на анонимус? Почему бы просто дебагом не пройти и не посмотреть что откуда приходит?

@dedlovscky · 22.09.2019, 15:15 **[ТС]**

Сообщение от KEKCoGEN

Почему она должна быть на анонимус?

Уважаемый, вот в этом и весь вопрос.

Сообщение от KEKCoGEN

в коде выше нигде не присваивается роль.

А это что по Вашему

Java
1
return new UsernamePasswordAuthenticationToken(systemUser.getUserId().toString(), systemUser.getCompanyId().toString(), systemUser.getGrantedAuthority());

@KEKCoGEN · 22.09.2019, 17:19

dedlovscky, пройдись дебагом и посмотри что именно не так идёт....в этой схеме аутентикации должно 3 класса участвовать только. Лишнее все убери чтоб не мешало.

@dedlovscky · 22.09.2019, 22:04 **[ТС]**

Подебажить - это первое что я делал.
Еще раз скажу про архитектуру.
У меня не монолит. Есть вообще отдельный сервер аутентификации. При вводе логина и пароля именно он делает аутентификацию. Это отдельное приложение. Он токены генерирует и отдает их клиенту.
И отдельное приложение - это сервер ресурсов. Его задача отдать запрашиваемые данные клиентом. Запросы все подписаны токеном. Этот токен парсится в фильтре при каждом запросе. Все данные для создания объекта Authentication у меня есть.
Но в какой бы очередности я не ставил этот фильтр, всегда есть AnonymousAuthenticationFilter c ключем anonymousUser, ролью ROLE_ANONYMOUS.
Даже в фильтре SecurityContextHolder.getContext().setAu thentication(authentication); не может на это повлиять.
Вот и вопрос, может еще что-то необходимо для такого построения схемы авторизации запросов?
Я тоже, перед тем как написать, думал также как и Вы, но к сожалению все попытки обарачиваются неудачей.
Я делал монолитное решение, там такая схема работала. Но вот в этом проекте с такой архитектурой такой подход не приемлем видимо. Либо есть подводный камень.
Поэтому и обратился за помощью к Вам.

@KEKCoGEN · 22.09.2019, 22:32

dedlovscky, монолит или нет в данном случае никакой разницы не имеет тк система не хранит состояния между запросами. Если совсем не выходит, создай простой проект демонстрирующий проблему и положи на гитхаб, я скажу в чем проблема. А лечить по фотографии это так себе. У меня такая схема работает во многих проектах и никогда проблем не было.

@dedlovscky · 23.09.2019, 19:07 **[ТС]**

Я понял, сделаю.

@dedlovscky · 23.09.2019, 20:56 **[ТС]**

Скину сюда.

@KEKCoGEN · 24.09.2019, 10:58

dedlovscky,

Java
1
  .addFilterBefore(new JwtAuthorizationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class)

Место фильтра в цепочке поменяй.

AuthenticationManager можешь не передавать. Он не нужен.

@dedlovscky · 24.09.2019, 23:16 **[ТС]**

Спасибо, попробую.

Добавлено через 25 минут
Посмотрел теперь 403 дает.
Жеть какая-то)))

@KEKCoGEN · 24.09.2019, 23:49

dedlovscky, у меня всё норм работало на проекте source

@dedlovscky · 25.09.2019, 18:32 **[ТС]**

В общем разберусь, отпишусь.

@dedlovscky · 16.10.2019, 23:15 **[ТС]**

Я нашел проблему появления 403

Java
1
2
3
4
                    
.antMatchers(SecurityConstants.SOURCES.get(Role.NONE)).permitAll()
.antMatchers(SecurityConstants.SOURCES.get(Role.ARCHITECT)).hasRole(Role.ARCHITECT.name())
.antMatchers(SecurityConstants.SOURCES.get(Role.ADMINISTRATOR)).hasRole(Role.ADMINISTRATOR.name())

Role.ARCHITECT имеет доступ /**. Он перекрывал url, которые доступны для Role.ADMINISTRATOR

Сделал так и все закрутилось

Java
1
2
3
4
                    
.antMatchers(SecurityConstants.SOURCES.get(Role.NONE)).permitAll()
.antMatchers(SecurityConstants.SOURCES.get(Role.ADMINISTRATOR)).hasRole(Role.ADMINISTRATOR.name())
.antMatchers(SecurityConstants.SOURCES.get(Role.ARCHITECT)).hasRole(Role.ARCHITECT.name())

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	20.09.2019, 20:02 [ТС]
	Вот debug Миниатюры 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	21.09.2019, 10:53
	dedlovscky, ну так надо свой фильтр первым ставить. 1

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	22.09.2019, 12:55 [ТС]
	ну это тоже не дает ничего 0

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	22.09.2019, 12:57 [ТС]
	Вот как теперь выглядит Миниатюры 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	22.09.2019, 14:03
	dedlovscky, в коде выше нигде не присваивается роль. Почему она должна быть на анонимус? Почему бы просто дебагом не пройти и не посмотреть что откуда приходит? 1

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	22.09.2019, 17:19
	dedlovscky, пройдись дебагом и посмотри что именно не так идёт....в этой схеме аутентикации должно 3 класса участвовать только. Лишнее все убери чтоб не мешало. 1

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	22.09.2019, 22:04 [ТС]
	Подебажить - это первое что я делал. Еще раз скажу про архитектуру. У меня не монолит. Есть вообще отдельный сервер аутентификации. При вводе логина и пароля именно он делает аутентификацию. Это отдельное приложение. Он токены генерирует и отдает их клиенту. И отдельное приложение - это сервер ресурсов. Его задача отдать запрашиваемые данные клиентом. Запросы все подписаны токеном. Этот токен парсится в фильтре при каждом запросе. Все данные для создания объекта Authentication у меня есть. Но в какой бы очередности я не ставил этот фильтр, всегда есть AnonymousAuthenticationFilter c ключем anonymousUser, ролью ROLE_ANONYMOUS. Даже в фильтре SecurityContextHolder.getContext().setAu thentication(authentication); не может на это повлиять. Вот и вопрос, может еще что-то необходимо для такого построения схемы авторизации запросов? Я тоже, перед тем как написать, думал также как и Вы, но к сожалению все попытки обарачиваются неудачей. Я делал монолитное решение, там такая схема работала. Но вот в этом проекте с такой архитектурой такой подход не приемлем видимо. Либо есть подводный камень. Поэтому и обратился за помощью к Вам. 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	22.09.2019, 22:32
	dedlovscky, монолит или нет в данном случае никакой разницы не имеет тк система не хранит состояния между запросами. Если совсем не выходит, создай простой проект демонстрирующий проблему и положи на гитхаб, я скажу в чем проблема. А лечить по фотографии это так себе. У меня такая схема работает во многих проектах и никогда проблем не было. 1

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	23.09.2019, 19:07 [ТС]
	Я понял, сделаю. 0

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	24.09.2019, 23:16 [ТС]
	Спасибо, попробую. Добавлено через 25 минут Посмотрел теперь 403 дает. Жеть какая-то))) 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	24.09.2019, 23:49
	dedlovscky, у меня всё норм работало на проекте source 1

@dedlovscky 16 / 11 / 0 Регистрация: 06.03.2015 Сообщений: 162
	25.09.2019, 18:32 [ТС]
	В общем разберусь, отпишусь. 0