1.3.2.RELEASE BOM を使用して、 Spring Security Auth0を Spring Web アプリに統合しています。提供された auth0-security-context.xml ファイルを使用して認証を構成していましたが、これは機能し、次のようになりました。
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<bean id="auth0EntryPoint" class="com.auth0.spring.security.auth0.Auth0AuthenticationEntryPoint" />
<!-- all urls starting with unsecured are -->
<security:http pattern="${auth0.securedRoute}" create-session="stateless" entry-point-ref="auth0EntryPoint">
<security:intercept-url pattern="${auth0.securedRoute}" access="ROLE_USER" />
<security:custom-filter ref="auth0Filter" after="SECURITY_CONTEXT_FILTER" ></security:custom-filter>
</security:http>
<!-- Otherwise by default everything is secured -->
<security:http auto-config="true" use-expressions="true" pattern="/**" create-session="stateless" entry-point-ref="auth0EntryPoint">
<security:intercept-url pattern="/**" access='permitAll' />
</security:http>
<bean id="auth0Filter" class="com.auth0.spring.security.auth0.Auth0AuthenticationFilter">
<property name="entryPoint" ref="auth0EntryPoint"></property>
</bean>
<bean id="auth0AuthenticationProvider" class="com.auth0.spring.security.auth0.Auth0AuthenticationProvider">
<property name="clientSecret" value="${auth0.clientSecret}" ></property>
<property name="clientId" value="${auth0.clientId}" ></property>
<property name="securedRoute" value="${auth0.securedRoute}" ></property>
</bean>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="auth0AuthenticationProvider" />
</security:authentication-manager>
</beans>
構成をカスタマイズする必要がある (CSRF 保護をオフにする必要がある) ため、上記の XML ファイルをインポートした注釈を削除し、次のクラスを使用して上記を Java 構成に変換しようとしました。
Auth0Configuration.java
package co.masslab.shiba;
import com.auth0.spring.security.auth0.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.*;
@Configuration
@ComponentScan(basePackages={"com.auth0"})
@PropertySource("classpath:auth0.properties")
public class Auth0Configuration {
@Value("${auth0.clientSecret}")
private String clientSecret;
@Value("${auth0.clientId}")
private String clientId;
@Value("${auth0.securedRoute}")
private String securedRoute;
@Bean
public Auth0AuthenticationEntryPoint auth0EntryPoint() {
return new Auth0AuthenticationEntryPoint();
}
@Bean
@Autowired
public Auth0AuthenticationFilter auth0Filter(Auth0AuthenticationEntryPoint auth0EntryPoint) {
Auth0AuthenticationFilter authFilter = new Auth0AuthenticationFilter();
authFilter.setEntryPoint(auth0EntryPoint);
return authFilter;
}
@Bean
public Auth0AuthenticationProvider auth0AuthenticationProvider() {
Auth0AuthenticationProvider authProvider = new Auth0AuthenticationProvider();
authProvider.setClientSecret(clientSecret);
authProvider.setClientId(clientId);
authProvider.setSecuredRoute(securedRoute);
return authProvider;
}
}
WebSecurityConfig.java
package co.masslab.shiba;
import com.auth0.spring.security.auth0.*;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.context.SecurityContextPersistenceFilter;
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
private final static Logger log = LoggerFactory.getLogger(WebSecurityConfig.class);
@Value("${auth0.securedRoute}")
private String securedRoute;
@Autowired
private Auth0AuthenticationEntryPoint auth0EntryPoint;
@Autowired
private Auth0AuthenticationFilter auth0Filter;
@Autowired
private Auth0AuthenticationProvider auth0AuthenticationProvider;
@Override
protected void configure(HttpSecurity http) throws Exception {
log.info("Configuring HttpSecurity");
http
.authorizeRequests().antMatchers(securedRoute).hasRole("USER")
.and()
.exceptionHandling().authenticationEntryPoint(auth0EntryPoint)
.and()
.addFilterAfter(auth0Filter, SecurityContextPersistenceFilter.class)
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
log.info("Configuring AuthenticationManagerBuilder");
auth.authenticationProvider(auth0AuthenticationProvider);
}
}
これはすべて例外なくコンパイルおよび実行され、認証を提供しない場合は、認証を行う必要があることが正しく通知されますが、認証ヘッダーで有効なベアラー トークンを使用して認証すると、メッセージが表示されますNo AuthenticationProvider found for com.auth0.spring.security.auth0.Auth0JWTToken。完全に明確にするために、この質問の上部にある auth0-security-context.xml ファイルを使用する場合、その問題はありません。
XML 構成から Java 構成に変換するときに見逃したものは何ですか?