С Новым годом! Форум программистов, компьютерный форум, киберфорум
Java: Spring, Spring Boot
Форум программистов и сисадминов Киберфорум > Форум программистов > Java > Java: Spring, Spring Boot
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.82/11: Рейтинг темы: голосов - 11, средняя оценка - 4.82
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162

Авторизация в spring security

19.09.2019, 21:35. Показов 2389. Ответов 18
Метки spring security (Все метки)
Студворк — интернет-сервис помощи студентам
Всем привет!
Аутентификация пользователей происходит на отдельном севере.
Он дает клиенту токен, с этим токеном клиент делает запрос к серверу ресурсов.
Spring Security все запросы помечает как анонимные.

Вот что на стороне сервера ресурсов

Фильтр авторизации запросов
Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

public class JwtAuthorizationFilter extends OncePerRequestFilter {
 
    private SystemUser systemUser;
    private final AuthenticationManager authenticationManager;
 
    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }
 
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        Authentication authentication = getAuthentication(request);
 
        if (authentication == null) {
            filterChain.doFilter(request, response);
            return;
        }
 
        request.setAttribute("systemUser", systemUser);
 
        authenticationManager.authenticate(authentication);
 
        SecurityContextHolder.getContext().setAuthentication(authentication);
 
        filterChain.doFilter(request, response);
    }
 
    private Authentication getAuthentication(HttpServletRequest request) {
        String token = request.getHeader(SecurityConstants.TOKEN_HEADER);
 
        if (!StringUtils.isEmpty(token) && token.startsWith(SecurityConstants.TOKEN_PREFIX)) {
            byte[] signingKey = SecurityConstants.JWT_SECRET.getBytes();
            Jws<Claims> parsedToken;
 
            try {
                parsedToken = Jwts.parser()
                        .setSigningKey(signingKey)
                        .parseClaimsJws(token.replace("Bearer ", ""));
            }catch (Exception e){
                return null;
            }
 
            systemUser = new ObjectMapper().convertValue(parsedToken.getBody(), SystemUser.class);
 
            return new UsernamePasswordAuthenticationToken(systemUser.getUserId().toString(), systemUser.getCompanyId().toString(), systemUser.getGrantedAuthority());
        }
 
        return null;
    }
}
Реализация AuthenticationProvider
Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

@Component
public class SystemAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (authentication == null) {
            throw new BadCredentialsException("Authentication failed");
        } else {
            return authentication;
        }
    }
    @Override
    public boolean supports(Class<?>aClass) {
        return aClass.equals(UsernamePasswordAuthenticationToken.class);
    }
}
Конфигурация
Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private SystemAccessDeniedHandler systemAccessDeniedHandler;
    @Autowired
    private SystemAuthenticationEntryPoint systemAuthenticationEntryPoint;
    @Autowired
    private SystemAuthenticationProvider systemAuthenticationProvider;
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
                .and()
                    .formLogin().disable()
                    .logout().disable()
                    .csrf().disable()
                    .httpBasic().disable()
                .authorizeRequests()
                    .antMatchers(SecurityConstants.SOURCES.get(Role.NONE)).permitAll()
                    .antMatchers(SecurityConstants.SOURCES.get(Role.ARCHITECT)).hasRole(Role.ARCHITECT.name())
                    .antMatchers(SecurityConstants.SOURCES.get(Role.ADMINISTRATOR)).hasRole(Role.ADMINISTRATOR.name())
                    .anyRequest().authenticated()
                .and()
//                    .addFilter(new JwtAuthenticationFilter(authenticationManager()))
                    .addFilterBefore(new JwtAuthorizationFilter(authenticationManager()), SecurityContextPersistenceFilter.class)
                .exceptionHandling()
                    .authenticationEntryPoint(systemAuthenticationEntryPoint)
                    .accessDeniedHandler(systemAccessDeniedHandler)
                .and()
                    .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
 
    @Override
    public void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(systemAuthenticationProvider);
    }
 
    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", new CorsConfiguration().applyPermitDefaultValues());
 
        return source;
    }
}
Пока не могу понять, чего надо ему.
0
IT_Exp
Эксперт
34794 / 4073 / 2104
Регистрация: 17.06.2006
Сообщений: 32,602
Блог
 19.09.2019, 21:35
Ответы с готовыми решениями:

Авторизация не работает при включенной CSRF защите Spring Security
Здравствуйте вот столкнулся с такой проблемой при попытке авторизации получал ответ 403 forbidden и никаких логов хотя, интрецептор...

Jetty embedded + Spring MVC + Spring Security
Добрый день. По роду работы приходилось писать на JavaSE, в том числе и сложные клиент/серверные программы. Использовал Netty, Apache...

Spring. Тесты и Spring-security
Вопрос из области почему так. Есть у меня такой вот тест: @ContextConfiguration(locations =...

18
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
20.09.2019, 09:43
Цитата Сообщение от dedlovscky Посмотреть сообщение
Реализация AuthenticationProvider
где реализация то? Обычно создают AuthenticationToken, задают principal, authorities вот это все....

В данном упрощенном подходе с применением фильтра вообще нет необходимости в authenticationManager. Достаточно в фильтре собрать объект аутентикации и вызвать SecurityContextHolder.getContext().setAu thentication(authentication);
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
20.09.2019, 20:00  [ТС]
Цитата Сообщение от KEKCoGEN Посмотреть сообщение
где реализация то? Обычно создают AuthenticationToken, задают principal, authorities вот это все....
Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

@Component
public class SystemAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (authentication == null) {
            throw new BadCredentialsException("Authentication failed");
        } else {
            return authentication;
        }
    }
    @Override
    public boolean supports(Class<?>aClass) {
        return aClass.equals(UsernamePasswordAuthenticationToken.class);
    }
}
Добавлено через 1 минуту
Цитата Сообщение от KEKCoGEN Посмотреть сообщение
В данном упрощенном подходе с применением фильтра вообще нет необходимости в authenticationManager. Достаточно в фильтре собрать объект аутентикации и вызвать SecurityContextHolder.getContext().setAu thentication(authentication);
Только что так сделал, даже в AuthenticationProvider не зашел.
Соответственно 401 выдало.

Добавлено через 34 минуты
В этом походу уже нет смысла SecurityContextHolder.getContext().setAu thentication(authentication), кода до JwtAuthorizationFilter доходит;
Когда filterChain.doFilter() выполняется он сравнивает authentication созданный не мной а Spring Security при получении запроса.
0
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
20.09.2019, 20:02  [ТС]
Вот debug
Миниатюры
Авторизация в spring security  
0
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
21.09.2019, 10:53
dedlovscky, ну так надо свой фильтр первым ставить.
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
22.09.2019, 12:55  [ТС]
ну это тоже не дает ничего
0
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
22.09.2019, 12:57  [ТС]
Вот как теперь выглядит
Миниатюры
Авторизация в spring security  
0
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
22.09.2019, 14:03
dedlovscky, в коде выше нигде не присваивается роль. Почему она должна быть на анонимус? Почему бы просто дебагом не пройти и не посмотреть что откуда приходит?
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
22.09.2019, 15:15  [ТС]
Цитата Сообщение от KEKCoGEN Посмотреть сообщение
Почему она должна быть на анонимус?
Уважаемый, вот в этом и весь вопрос.
Цитата Сообщение от KEKCoGEN Посмотреть сообщение
в коде выше нигде не присваивается роль.
А это что по Вашему
Java
1

return new UsernamePasswordAuthenticationToken(systemUser.getUserId().toString(), systemUser.getCompanyId().toString(), systemUser.getGrantedAuthority());
0
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
22.09.2019, 17:19
dedlovscky, пройдись дебагом и посмотри что именно не так идёт....в этой схеме аутентикации должно 3 класса участвовать только. Лишнее все убери чтоб не мешало.
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
22.09.2019, 22:04  [ТС]
Подебажить - это первое что я делал.
Еще раз скажу про архитектуру.
У меня не монолит. Есть вообще отдельный сервер аутентификации. При вводе логина и пароля именно он делает аутентификацию. Это отдельное приложение. Он токены генерирует и отдает их клиенту.
И отдельное приложение - это сервер ресурсов. Его задача отдать запрашиваемые данные клиентом. Запросы все подписаны токеном. Этот токен парсится в фильтре при каждом запросе. Все данные для создания объекта Authentication у меня есть.
Но в какой бы очередности я не ставил этот фильтр, всегда есть AnonymousAuthenticationFilter c ключем anonymousUser, ролью ROLE_ANONYMOUS.
Даже в фильтре SecurityContextHolder.getContext().setAu thentication(authentication); не может на это повлиять.
Вот и вопрос, может еще что-то необходимо для такого построения схемы авторизации запросов?
Я тоже, перед тем как написать, думал также как и Вы, но к сожалению все попытки обарачиваются неудачей.
Я делал монолитное решение, там такая схема работала. Но вот в этом проекте с такой архитектурой такой подход не приемлем видимо. Либо есть подводный камень.
Поэтому и обратился за помощью к Вам.
0
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
22.09.2019, 22:32
dedlovscky, монолит или нет в данном случае никакой разницы не имеет тк система не хранит состояния между запросами. Если совсем не выходит, создай простой проект демонстрирующий проблему и положи на гитхаб, я скажу в чем проблема. А лечить по фотографии это так себе. У меня такая схема работает во многих проектах и никогда проблем не было.
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
23.09.2019, 19:07  [ТС]
Я понял, сделаю.
0
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
23.09.2019, 20:56  [ТС]
Скину сюда.
Вложения
Тип файла: 7z project.7z (63.3 Кб, 2 просмотров)
0
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
24.09.2019, 10:58
dedlovscky,
Java
1

  .addFilterBefore(new JwtAuthorizationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class)
Место фильтра в цепочке поменяй.

AuthenticationManager можешь не передавать. Он не нужен.
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
24.09.2019, 23:16  [ТС]
Спасибо, попробую.

Добавлено через 25 минут
Посмотрел теперь 403 дает.
Жеть какая-то)))
0
Эксперт Java
 Аватар для KEKCoGEN
2399 / 2224 / 565
Регистрация: 28.12.2010
Сообщений: 8,672
24.09.2019, 23:49
dedlovscky, у меня всё норм работало на проекте source
1
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
25.09.2019, 18:32  [ТС]
В общем разберусь, отпишусь.
0
 Аватар для dedlovscky
16 / 11 / 0
Регистрация: 06.03.2015
Сообщений: 162
16.10.2019, 23:15  [ТС]
Я нашел проблему появления 403

Java
1
2
3
4

                    
.antMatchers(SecurityConstants.SOURCES.get(Role.NONE)).permitAll()
.antMatchers(SecurityConstants.SOURCES.get(Role.ARCHITECT)).hasRole(Role.ARCHITECT.name())
.antMatchers(SecurityConstants.SOURCES.get(Role.ADMINISTRATOR)).hasRole(Role.ADMINISTRATOR.name())
Role.ARCHITECT имеет доступ /**. Он перекрывал url, которые доступны для Role.ADMINISTRATOR

Сделал так и все закрутилось

Java
1
2
3
4

                    
.antMatchers(SecurityConstants.SOURCES.get(Role.NONE)).permitAll()
.antMatchers(SecurityConstants.SOURCES.get(Role.ADMINISTRATOR)).hasRole(Role.ADMINISTRATOR.name())
.antMatchers(SecurityConstants.SOURCES.get(Role.ARCHITECT)).hasRole(Role.ARCHITECT.name())
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
BasicMan
Эксперт
29316 / 5623 / 2384
Регистрация: 17.02.2009
Сообщений: 30,364
Блог
 16.10.2019, 23:15
Помогаю со студенческими работами здесь

Spring security c 3 на 4
Не знаю почему, но после того, как перешел на spring security 4 возникает проблема. Захожу на страницу логина, ввожу имя и пароль....

Spring Security
Добрый день. Использую SpringSecurity: protected void configure(HttpSecurity http) throws Exception { ...

Spring security
Пытаюсь сделать spring MVC + spring security. При запуске пишет Type Exception Report Message No bean named 'springSecurityFilterChain'...

Настройка Spring-security
Здравствуйте. Помогите, пожалуйста, подключить к моему прилложение spring-security. Итак, я: 1) Прописал фреймворк в pom, web. 2)...

Не работает Spring security
пытаюсь реализовать spring-security. При аутентификации я обращаюсь к базе данных, где проверяю логин и пароль в контроллере. в role...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Новые блоги и статьи
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути
Programma_Boinc 01.01.2026
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост.
Programma_Boinc 28.12.2025
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / **********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / **********/ gallery/ bKBkQFf Пост отсюда. . .
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США.
Programma_Boinc 26.12.2025
Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка.
Programma_Boinc 23.12.2025
Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~
and_y87 14.12.2025
PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными
VikBal 11.12.2025
Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук
volvo 07.12.2025
Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro
 Музыка, написанная Искусственным Интеллектом
volvo 04.12.2025
Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .
От async/await к виртуальным потокам в Python
IndentationError 23.11.2025
Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов
Argus19 22.11.2025
Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru