Spring Security - Kerberos аутентификация + SpEL авторизация

@--newbie-- · Регистрация: 17.09.2014

Студворк — интернет-сервис помощи студентам

Доброго времени суток

Есть цель - авторизация пользователя в приложении, да не простая, а желательно attribute-based. Примерную реализацию уже нашел (см. https://github.com/mostafa-elt... ngSecurity) и прикрутил. Но имеется некоторое количество вопросов в связи с недолгим знакомством с Security.
Аутентификация реализована 2мя провайдерами, Kerberos с фолбэком на ActiveDirectory.

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Value("${authentication.ldap.domain}")
    private String ldapDomain;
    
    @Value("${authentication.ldap.url}")
    private String ldapUrl;
    
    @Value("${authentication.ldap.search-base}")
    private String ldapSearchBase;
    
    @Value("${authentication.ldap.ad-filter}")
    private String ldapFilter;
    
    @Value("${authentication.ldap.spnego-filter}")
    private String spnegoFilter;
 
    @Value("${authentication.service-principal}")
    private String servicePrincipal;
    
    @Value("${authentication.keytab-location}")
    private String keytabLocation;
    
    @Value("${authentication.krb5conf-location}")
    private String krbConfLocation;
    
    @Autowired 
    private CustomSuccessHandler successHandler;
    
    @Autowired
    public void configureGlobal(final AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(kerberosServiceAuthenticationProvider());
        auth.authenticationProvider(activeDirectoryLdapAuthenticationProvider());
    }
        
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
           .antMatchers("/resources/**");
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .exceptionHandling()
                .authenticationEntryPoint(spnegoEntryPoint())
                .and()
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .loginProcessingUrl("/login")
                .successHandler(successHandler)
                .defaultSuccessUrl("/home")
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
            .addFilterBefore(usernamePasswordAuthenticationFilter(authenticationManagerBean()),
                    BasicAuthenticationFilter.class)
            .addFilterBefore(spnegoAuthenticationProcessingFilter(authenticationManagerBean()),
                    UsernamePasswordAuthenticationFilter.class);
    }
    
    @Bean
    public ActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {
        ActiveDirectoryLdapAuthenticationProvider provider = 
                new ActiveDirectoryLdapAuthenticationProvider( this.ldapDomain, this.ldapUrl, this.ldapSearchBase );
        provider.setUserDetailsContextMapper(userDetailsMapper());
        provider.setContextEnvironmentProperties(contextEnvironment());
        provider.setSearchFilter(this.ldapFilter);
        return provider;
    }
 
    @Bean
    public KerberosServiceAuthenticationProvider kerberosServiceAuthenticationProvider() throws Exception {
        KerberosServiceAuthenticationProvider provider = new KerberosServiceAuthenticationProvider();
        provider.setTicketValidator(ticketValidator());
        provider.setUserDetailsService(ldapUserDetailsService());
        provider.afterPropertiesSet();
        return provider;
    }
    
    @Bean
    public SpnegoAuthenticationProcessingFilter spnegoAuthenticationProcessingFilter(AuthenticationManager authenticationManager) throws ServletException {
        SpnegoAuthenticationProcessingFilter filter = new SpnegoAuthenticationProcessingFilter();
        filter.setSuccessHandler(successHandler);
        filter.setAuthenticationManager(authenticationManager);
        filter.afterPropertiesSet();
        return filter;
    }
    
    @Bean
    public UsernamePasswordAuthenticationFilter usernamePasswordAuthenticationFilter(AuthenticationManager authenticationManager) {
        UsernamePasswordAuthenticationFilter filter = new UsernamePasswordAuthenticationFilter();
        filter.setAuthenticationSuccessHandler(successHandler);
        filter.setAuthenticationManager(authenticationManager);
        filter.afterPropertiesSet();
        return filter;
    }
    
    @Bean
    public SpnegoEntryPoint spnegoEntryPoint() {
        return new SpnegoEntryPoint("/login");
    }
    
    @Bean
    public SunJaasKerberosClient kerberosClient() {
        return new SunJaasKerberosClient();
    }
    
    @Bean
    public SunJaasKerberosTicketValidator ticketValidator() throws Exception {
        SunJaasKerberosTicketValidator ticketValidator = new SunJaasKerberosTicketValidator();
        ticketValidator.setServicePrincipal(this.servicePrincipal);
        ticketValidator.setKeyTabLocation(new FileSystemResource(this.keytabLocation));
        ticketValidator.afterPropertiesSet();
        return ticketValidator;
    }
    
    @Bean
    public LdapUserDetailsService ldapUserDetailsService() throws Exception {
        FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch(this.ldapSearchBase, this.spnegoFilter, krbContextSource());
        LdapUserDetailsService service = new LdapUserDetailsService(userSearch, authoritiesPopulator());
        service.setUserDetailsMapper(userDetailsMapper());
        return service;
    }
 
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    
    @Bean
    public KerberosLdapContextSource krbContextSource() throws Exception {
        KerberosLdapContextSource contextSource = new KerberosLdapContextSource(this.ldapUrl);
        contextSource.setLoginConfig(loginConfig());
        contextSource.setBaseEnvironmentProperties(contextEnvironment());
        contextSource.afterPropertiesSet();
        return contextSource;
    }
    
    @Bean
    public SunJaasKrb5LoginConfig loginConfig() throws Exception {
        SunJaasKrb5LoginConfig loginConfig = new SunJaasKrb5LoginConfig();
        loginConfig.setServicePrincipal(this.servicePrincipal);
        loginConfig.setKeyTabLocation(new FileSystemResource(this.keytabLocation));
        loginConfig.setIsInitiator(true);
        loginConfig.afterPropertiesSet();
        return loginConfig;
    }
    
    @Bean
    public GlobalSunJaasKerberosConfig globalConfig() throws Exception {
        GlobalSunJaasKerberosConfig globalConfig = new GlobalSunJaasKerberosConfig();
        globalConfig.setKrbConfLocation(this.krbConfLocation);
        globalConfig.afterPropertiesSet();
        return globalConfig;
    }
    
    @Bean
    public CustomUserDetailsMapper userDetailsMapper() {
        return new CustomUserDetailsMapper();
    }
    
    @Bean
    public DefaultLdapAuthoritiesPopulator authoritiesPopulator() throws Exception {
        DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(krbContextSource(), this.ldapSearchBase);
        authoritiesPopulator.setConvertToUpperCase(false);
        authoritiesPopulator.setRolePrefix("");
        return authoritiesPopulator;
    }
    
    @Bean
    public Map<String,Object> contextEnvironment() {
        Hashtable<String, Object> envProps = new Hashtable<>();
        envProps.put("java.naming.ldap.attributes.binary","objectGUID");
        return envProps;
    }
}

Завёл сущность юзера чисто под свои нужды

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
@Getter @Setter
@Document( collection = "users" )
@ToString( exclude = {"position"} )
public class User {
 
    private String username;
        
    private String firstName;
    
    private String lastName;
    
    private String mail;
    
    private Boolean isEnabled;
    
    private String objectGuid;
 
    private String authority;
    
    private Position position;
    
    public String getFullName() {
        return this.firstName + " " + this.lastName;
    }
}

И при первом логине добавляю в БД с помощью CustomSuccessHandler

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
@Override
    public void onAuthenticationSuccess(HttpServletRequest request, 
                                        HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        if ( authentication != null && authentication.isAuthenticated() ) {
            CustomUserDetailsImpl details = (CustomUserDetailsImpl) authentication.getPrincipal();
            User user = userService.readUser( details.getUsername() );
            if( user == null || !user.equals( details.getUser() ) ) {
                user = userService.createDocument( details.getUser() );
            }
        }
        super.onAuthenticationSuccess(request, response, authentication);
    }

Собственно основной вопрос - как подсунуть в SecurityContext пользователя из БД, у которого настроены все роли и права доступа, вместо объекта Authentication, взятого из ActiveDirectory и - буквально - нулёвого.
Ну и как дополнительный - заведёно ли за обязательство реализовывать моим юзером интерфейс UserDetails, с последующей реализацией UserDetailsService?

@KEKCoGEN · 27.08.2021, 10:07

Сообщение от --newbie--

как подсунуть в SecurityContext пользователя из БД

для этого юзер должен имплементировать интерфейс UserDetails.
Строго говоря по-моему даже это не обязательно. Насколько я помню principal определен как Object, но с UserDetails легче работать

@--newbie-- · 27.08.2021, 11:49 **[ТС]**

Хорошо, тогда другой вопрос - на каком этапе производить замену? Добавить в цепочку дополнительный фильтр?
Пока есть следующая идея. Для kerberos провайдера заменить ldapUserDetailsService на кастомный, который первоначально будет делать проверку в БД, а уже потом бежать в AD.
А для activeDirectory - отнаследоваться и перегрузить метод createSuccessfulAuthentication, чтобы он делал аналогичную проверку.

Добавлено через 1 час 23 минуты
Косяк, проглядел, что ActiveDirectoryLdapAuthenticationProvide r - final. Значит идея с createSuccessfulAuthentication отменяется.

@KEKCoGEN · 31.08.2021, 15:03

Сообщение от --newbie--

Добавить в цепочку дополнительный фильтр?

да, и скорее всего ещё один провайдер. В спринге уже есть существующий на этот случай насколько я помню

@--newbie-- · 31.08.2021, 15:15 **[ТС]**

Попробую посмотреть в эту сторону. Сейчас получилось завести, реализовал на пользователе интерфейс UserDetails и внёс изменения в CustomUserDetailsMapper для запроса в БД

Java
1
2
3
4
5
6
7
@Override
public UserDetails mapUserFromContext(DirContextOperations ctx, String username,
                                      Collection<? extends GrantedAuthority> authorities) {
    User details = userService.readUser(username.split("@")[0]);
    if( details == null ) {/*тут разбирается ctx*/}
    return details;
}

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@--newbie-- 0 / 0 / 0 Регистрация: 17.09.2014 Сообщений: 4
	27.08.2021, 11:49 [ТС]
	Хорошо, тогда другой вопрос - на каком этапе производить замену? Добавить в цепочку дополнительный фильтр? Пока есть следующая идея. Для kerberos провайдера заменить ldapUserDetailsService на кастомный, который первоначально будет делать проверку в БД, а уже потом бежать в AD. А для activeDirectory - отнаследоваться и перегрузить метод createSuccessfulAuthentication, чтобы он делал аналогичную проверку. Добавлено через 1 час 23 минуты Косяк, проглядел, что ActiveDirectoryLdapAuthenticationProvide r - final. Значит идея с createSuccessfulAuthentication отменяется. 0