Spring 3 で RESTful Web サービスを開発しており、ログイン/ログアウトの機能が必要/webservices/login/<username>/<password>/です/webservices/logout。セッションは、セッションがタイムアウトするかログアウトされるまでコンテキストに保存して、他の Web サービスを使用できるようにする必要があります。セッション情報なしで Web サービスにアクセスする要求はすべて拒否する必要があります。このシナリオの最先端のソリューションを探しています。
ここSpring Security 3 programmatically loginで尋ねられた質問を実際に復活させていますが、まだ適切に回答されていません。必要な変更を web.xml にも指定してください。
Spring Security フィルターを完全に手動で定義することをお勧めします。それほど難しいことではなく、ログイン/ログアウトの動作を完全に制御できます。
まず、フィルタ チェーンの処理を Spring に委任するには、標準の web.xml の宣伝文句が必要です (サーブレット API バージョン 3 を使用していない場合は、async-supported を削除してください)。
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<async-supported>true</async-supported>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
ここで、セキュリティ コンテキストで、パスごとに個別にフィルターを定義します。フィルターは、ユーザーの認証、ユーザーのログアウト、セキュリティ資格情報の確認などを行うことができます。
<bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
<sec:filter-chain-map path-type="ant">
<sec:filter-chain pattern="/login" filters="sif,wsFilter"/>
<sec:filter-chain pattern="/logout" filters="sif,logoutFilter" />
<sec:filter-chain pattern="/rest/**" filters="sif,fsi"/>
</sec:filter-chain-map>
</bean>
上記の XML は、フィルター チェーンを介して特定のコンテキスト相対 URL にリクエストを渡すように Spring に指示します。どのフィルタ チェーンでも最初に行うことは、セキュリティ コンテキストを確立することです。「sif」Bean がそれを処理します。
<bean id="sif" class="org.springframework.security.web.context.SecurityContextPersistenceFilter"/>
チェーン内の次のフィルターは、セキュリティ コンテキスト (読み取り: ログイン/ログアウト ユーザー) にデータを追加するか、セキュリティ コンテキストに基づいてアクセスを許可するかどうかを決定できます。
ログイン URL には、リクエストから認証データを読み取り、検証し、セキュリティ コンテキスト (セッションに保存される) に保存するフィルターが必要です。
<bean id="wsFilter" class="my.own.security.AuthenticationFilter">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="authenticationSuccessHandler" ref="myAuthSuccessHandler"/>
<property name="passwordParameter" value="pass"></property>
<property name="usernameParameter" value="user"></property>
<property name="postOnly" value="false"></property>
Spring ジェネリックを使用できますUsernamePasswordAuthenticationFilterが、私が独自の実装を使用する理由は、フィルター チェーンの処理を継続するためです (デフォルトの実装では、ユーザーが認証の成功時にリダイレクトされ、フィルター チェーンを終了すると想定しています)、ユーザー名とパスワードが渡されるたびに認証を処理できるようにするためです。それ:
public class MyAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response) {
return ( StringUtils.hasText(obtainUsername(request)) && StringUtils.hasText(obtainPassword(request)) );
}
@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
Authentication authResult) throws IOException, ServletException{
super.successfulAuthentication(request, response, chain, authResult);
chain.doFilter(request, response);
}
HTTP 基本認証ヘッダーを使用した認証、ダイジェスト ヘッダー、または要求本文からのユーザー名/パスワードの抽出など、/login パスに独自のフィルター実装をいくつでも追加できます。Spring は、そのための一連のフィルターを提供します。
デフォルトのリダイレクト戦略をオーバーライドする独自の認証成功ハンドラーがあります。
public class AuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
@PostConstruct
public void afterPropertiesSet() {
setRedirectStrategy(new NoRedirectStrategy());
}
protected class NoRedirectStrategy implements RedirectStrategy {
@Override
public void sendRedirect(HttpServletRequest request,
HttpServletResponse response, String url) throws IOException {
// no redirect
}
}
}
ログインの成功後にユーザーがリダイレクトされても問題ない場合は、カスタム認証成功ハンドラー (およびおそらくカスタム認証フィルターも) を用意する必要はありません (リダイレクト URL をカスタマイズできます。ドキュメントを確認してください)。
ユーザーの詳細の取得を担当する認証マネージャーを定義します。
<sec:authentication-manager alias="authenticationManager">
<sec:authentication-provider ref="myAuthAuthProvider"/>
</sec:authentication-manager>
<bean id="myAuthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
<bean id="userDetailsServiceWrapper" class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
<property name="userDetailsService" ref="myUserDetailsImpl"/>
</bean>
</property>
</bean>
ここで独自のユーザー詳細 Bean 実装を提供する必要があります。
ログアウト フィルタ: セキュリティ コンテキストのクリアを担当
<bean id="logoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">
<constructor-arg>
<list>
<bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>
</list>
</constructor-arg>
</bean>
一般的な認証に関するもの:
<bean id="httpRequestAccessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<property name="allowIfAllAbstainDecisions" value="false"/>
<property name="decisionVoters">
<list>
<ref bean="roleVoter"/>
</list>
</property>
</bean>
<bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter"/>
<bean id="securityContextHolderAwareRequestFilter" class="org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter"/>
アクセス制御フィルター (一目瞭然):
<bean id="fsi" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="myAuthenticationManager"/>
<property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
<property name="securityMetadataSource">
<sec:filter-invocation-definition-source>
<sec:intercept-url pattern="/rest/**" access="ROLE_REST"/>
</sec:filter-invocation-definition-source>
</property>
</bean>
@Securedメソッドのアノテーションを使用して REST サービスを保護することもできます。
上記のコンテキストは、既存の REST サービス Web アプリケーションから抽出されたものです - タイプミスの可能性がある場合は申し訳ありません。
ここで実装されていることの少なくともほとんどは、ストックsecSpring タグを使用して実行することもできますが、ほとんどの制御が可能になるカスタム アプローチを好みます。
これで少なくとも開始できることを願っています。