Spring Security - Kerberos аутентификация + SpEL авторизация

@--newbie-- · Регистрация: 17.09.2014

Студворк — интернет-сервис помощи студентам

Доброго времени суток

Есть цель - авторизация пользователя в приложении, да не простая, а желательно attribute-based. Примерную реализацию уже нашел (см. https://github.com/mostafa-elt... ngSecurity) и прикрутил. Но имеется некоторое количество вопросов в связи с недолгим знакомством с Security.
Аутентификация реализована 2мя провайдерами, Kerberos с фолбэком на ActiveDirectory.

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Value("${authentication.ldap.domain}")
    private String ldapDomain;
    
    @Value("${authentication.ldap.url}")
    private String ldapUrl;
    
    @Value("${authentication.ldap.search-base}")
    private String ldapSearchBase;
    
    @Value("${authentication.ldap.ad-filter}")
    private String ldapFilter;
    
    @Value("${authentication.ldap.spnego-filter}")
    private String spnegoFilter;
 
    @Value("${authentication.service-principal}")
    private String servicePrincipal;
    
    @Value("${authentication.keytab-location}")
    private String keytabLocation;
    
    @Value("${authentication.krb5conf-location}")
    private String krbConfLocation;
    
    @Autowired 
    private CustomSuccessHandler successHandler;
    
    @Autowired
    public void configureGlobal(final AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(kerberosServiceAuthenticationProvider());
        auth.authenticationProvider(activeDirectoryLdapAuthenticationProvider());
    }
        
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
           .antMatchers("/resources/**");
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .exceptionHandling()
                .authenticationEntryPoint(spnegoEntryPoint())
                .and()
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .loginProcessingUrl("/login")
                .successHandler(successHandler)
                .defaultSuccessUrl("/home")
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
            .addFilterBefore(usernamePasswordAuthenticationFilter(authenticationManagerBean()),
                    BasicAuthenticationFilter.class)
            .addFilterBefore(spnegoAuthenticationProcessingFilter(authenticationManagerBean()),
                    UsernamePasswordAuthenticationFilter.class);
    }
    
    @Bean
    public ActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {
        ActiveDirectoryLdapAuthenticationProvider provider = 
                new ActiveDirectoryLdapAuthenticationProvider( this.ldapDomain, this.ldapUrl, this.ldapSearchBase );
        provider.setUserDetailsContextMapper(userDetailsMapper());
        provider.setContextEnvironmentProperties(contextEnvironment());
        provider.setSearchFilter(this.ldapFilter);
        return provider;
    }
 
    @Bean
    public KerberosServiceAuthenticationProvider kerberosServiceAuthenticationProvider() throws Exception {
        KerberosServiceAuthenticationProvider provider = new KerberosServiceAuthenticationProvider();
        provider.setTicketValidator(ticketValidator());
        provider.setUserDetailsService(ldapUserDetailsService());
        provider.afterPropertiesSet();
        return provider;
    }
    
    @Bean
    public SpnegoAuthenticationProcessingFilter spnegoAuthenticationProcessingFilter(AuthenticationManager authenticationManager) throws ServletException {
        SpnegoAuthenticationProcessingFilter filter = new SpnegoAuthenticationProcessingFilter();
        filter.setSuccessHandler(successHandler);
        filter.setAuthenticationManager(authenticationManager);
        filter.afterPropertiesSet();
        return filter;
    }
    
    @Bean
    public UsernamePasswordAuthenticationFilter usernamePasswordAuthenticationFilter(AuthenticationManager authenticationManager) {
        UsernamePasswordAuthenticationFilter filter = new UsernamePasswordAuthenticationFilter();
        filter.setAuthenticationSuccessHandler(successHandler);
        filter.setAuthenticationManager(authenticationManager);
        filter.afterPropertiesSet();
        return filter;
    }
    
    @Bean
    public SpnegoEntryPoint spnegoEntryPoint() {
        return new SpnegoEntryPoint("/login");
    }
    
    @Bean
    public SunJaasKerberosClient kerberosClient() {
        return new SunJaasKerberosClient();
    }
    
    @Bean
    public SunJaasKerberosTicketValidator ticketValidator() throws Exception {
        SunJaasKerberosTicketValidator ticketValidator = new SunJaasKerberosTicketValidator();
        ticketValidator.setServicePrincipal(this.servicePrincipal);
        ticketValidator.setKeyTabLocation(new FileSystemResource(this.keytabLocation));
        ticketValidator.afterPropertiesSet();
        return ticketValidator;
    }
    
    @Bean
    public LdapUserDetailsService ldapUserDetailsService() throws Exception {
        FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch(this.ldapSearchBase, this.spnegoFilter, krbContextSource());
        LdapUserDetailsService service = new LdapUserDetailsService(userSearch, authoritiesPopulator());
        service.setUserDetailsMapper(userDetailsMapper());
        return service;
    }
 
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    
    @Bean
    public KerberosLdapContextSource krbContextSource() throws Exception {
        KerberosLdapContextSource contextSource = new KerberosLdapContextSource(this.ldapUrl);
        contextSource.setLoginConfig(loginConfig());
        contextSource.setBaseEnvironmentProperties(contextEnvironment());
        contextSource.afterPropertiesSet();
        return contextSource;
    }
    
    @Bean
    public SunJaasKrb5LoginConfig loginConfig() throws Exception {
        SunJaasKrb5LoginConfig loginConfig = new SunJaasKrb5LoginConfig();
        loginConfig.setServicePrincipal(this.servicePrincipal);
        loginConfig.setKeyTabLocation(new FileSystemResource(this.keytabLocation));
        loginConfig.setIsInitiator(true);
        loginConfig.afterPropertiesSet();
        return loginConfig;
    }
    
    @Bean
    public GlobalSunJaasKerberosConfig globalConfig() throws Exception {
        GlobalSunJaasKerberosConfig globalConfig = new GlobalSunJaasKerberosConfig();
        globalConfig.setKrbConfLocation(this.krbConfLocation);
        globalConfig.afterPropertiesSet();
        return globalConfig;
    }
    
    @Bean
    public CustomUserDetailsMapper userDetailsMapper() {
        return new CustomUserDetailsMapper();
    }
    
    @Bean
    public DefaultLdapAuthoritiesPopulator authoritiesPopulator() throws Exception {
        DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(krbContextSource(), this.ldapSearchBase);
        authoritiesPopulator.setConvertToUpperCase(false);
        authoritiesPopulator.setRolePrefix("");
        return authoritiesPopulator;
    }
    
    @Bean
    public Map<String,Object> contextEnvironment() {
        Hashtable<String, Object> envProps = new Hashtable<>();
        envProps.put("java.naming.ldap.attributes.binary","objectGUID");
        return envProps;
    }
}

Завёл сущность юзера чисто под свои нужды

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
@Getter @Setter
@Document( collection = "users" )
@ToString( exclude = {"position"} )
public class User {
 
    private String username;
        
    private String firstName;
    
    private String lastName;
    
    private String mail;
    
    private Boolean isEnabled;
    
    private String objectGuid;
 
    private String authority;
    
    private Position position;
    
    public String getFullName() {
        return this.firstName + " " + this.lastName;
    }
}

И при первом логине добавляю в БД с помощью CustomSuccessHandler

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
@Override
    public void onAuthenticationSuccess(HttpServletRequest request, 
                                        HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        if ( authentication != null && authentication.isAuthenticated() ) {
            CustomUserDetailsImpl details = (CustomUserDetailsImpl) authentication.getPrincipal();
            User user = userService.readUser( details.getUsername() );
            if( user == null || !user.equals( details.getUser() ) ) {
                user = userService.createDocument( details.getUser() );
            }
        }
        super.onAuthenticationSuccess(request, response, authentication);
    }

Собственно основной вопрос - как подсунуть в SecurityContext пользователя из БД, у которого настроены все роли и права доступа, вместо объекта Authentication, взятого из ActiveDirectory и - буквально - нулёвого.
Ну и как дополнительный - заведёно ли за обязательство реализовывать моим юзером интерфейс UserDetails, с последующей реализацией UserDetailsService?

@KEKCoGEN · 27.08.2021, 10:07

Сообщение от --newbie--

как подсунуть в SecurityContext пользователя из БД

для этого юзер должен имплементировать интерфейс UserDetails.
Строго говоря по-моему даже это не обязательно. Насколько я помню principal определен как Object, но с UserDetails легче работать

@--newbie-- · 27.08.2021, 11:49 **[ТС]**

Хорошо, тогда другой вопрос - на каком этапе производить замену? Добавить в цепочку дополнительный фильтр?
Пока есть следующая идея. Для kerberos провайдера заменить ldapUserDetailsService на кастомный, который первоначально будет делать проверку в БД, а уже потом бежать в AD.
А для activeDirectory - отнаследоваться и перегрузить метод createSuccessfulAuthentication, чтобы он делал аналогичную проверку.

Добавлено через 1 час 23 минуты
Косяк, проглядел, что ActiveDirectoryLdapAuthenticationProvide r - final. Значит идея с createSuccessfulAuthentication отменяется.

@KEKCoGEN · 31.08.2021, 15:03

Сообщение от --newbie--

Добавить в цепочку дополнительный фильтр?

да, и скорее всего ещё один провайдер. В спринге уже есть существующий на этот случай насколько я помню

@--newbie-- · 31.08.2021, 15:15 **[ТС]**

Попробую посмотреть в эту сторону. Сейчас получилось завести, реализовал на пользователе интерфейс UserDetails и внёс изменения в CustomUserDetailsMapper для запроса в БД

Java
1
2
3
4
5
6
7
@Override
public UserDetails mapUserFromContext(DirContextOperations ctx, String username,
                                      Collection<? extends GrantedAuthority> authorities) {
    User details = userService.readUser(username.split("@")[0]);
    if( details == null ) {/*тут разбирается ctx*/}
    return details;
}

Новые блоги и статьи Все статьи Все блоги /
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .

@--newbie-- 0 / 0 / 0 Регистрация: 17.09.2014 Сообщений: 4
	27.08.2021, 11:49 [ТС]
	Хорошо, тогда другой вопрос - на каком этапе производить замену? Добавить в цепочку дополнительный фильтр? Пока есть следующая идея. Для kerberos провайдера заменить ldapUserDetailsService на кастомный, который первоначально будет делать проверку в БД, а уже потом бежать в AD. А для activeDirectory - отнаследоваться и перегрузить метод createSuccessfulAuthentication, чтобы он делал аналогичную проверку. Добавлено через 1 час 23 минуты Косяк, проглядел, что ActiveDirectoryLdapAuthenticationProvide r - final. Значит идея с createSuccessfulAuthentication отменяется. 0