java - Spring Security LDAP 和记住我-6ren

java - Spring Security LDAP 和记住我

转载作者：IT老高更新时间：2023-10-28 13:46:55

我正在使用 Spring Boot 构建一个与 LDAP 集成的应用程序。我能够成功连接到 LDAP 服务器并验证用户身份。现在我需要添加记住我的功能。我试图浏览不同的帖子( this )，但无法找到我的问题的答案。官方 Spring Security document 指出

If you are using an authentication provider which doesn't use a UserDetailsService (for example, the LDAP provider) then it won't work unless you also have a UserDetailsService bean in your application context

这是我的工作代码以及一些添加记住我功能的初步想法:

网络安全配置

import com.ui.security.CustomUserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.access.event.LoggerListener;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider;
import org.springframework.security.ldap.userdetails.UserDetailsContextMapper;
import org.springframework.security.web.authentication.RememberMeServices;
import org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    String DOMAIN = "ldap-server.com";
    String URL = "ldap://ds.ldap-server.com:389";


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/ui/**").authenticated()
                .antMatchers("/", "/home", "/UIDL/**", "/ui/**").permitAll()
                .anyRequest().authenticated()
        ;
        http
                .formLogin()
                .loginPage("/login").failureUrl("/login?error=true").permitAll()
                .and().logout().permitAll()
        ;

        // Not sure how to implement this
        http.rememberMe().rememberMeServices(rememberMeServices()).key("password");

    }

    @Override
    protected void configure(AuthenticationManagerBuilder authManagerBuilder) throws Exception {

        authManagerBuilder
                .authenticationProvider(activeDirectoryLdapAuthenticationProvider())
                .userDetailsService(userDetailsService())
        ;
    }

    @Bean
    public ActiveDirectoryLdapAuthenticationProvider activeDirectoryLdapAuthenticationProvider() {

        ActiveDirectoryLdapAuthenticationProvider provider = new ActiveDirectoryLdapAuthenticationProvider(DOMAIN, URL);
        provider.setConvertSubErrorCodesToExceptions(true);
        provider.setUseAuthenticationRequestCredentials(true);
        provider.setUserDetailsContextMapper(userDetailsContextMapper());
        return provider;
    }

    @Bean
    public UserDetailsContextMapper userDetailsContextMapper() {
        UserDetailsContextMapper contextMapper = new CustomUserDetailsServiceImpl();
        return contextMapper;
    }

    /**
     * Impl of remember me service
     * @return
     */
    @Bean
    public RememberMeServices rememberMeServices() {
//        TokenBasedRememberMeServices rememberMeServices = new TokenBasedRememberMeServices("password", userService);
//        rememberMeServices.setCookieName("cookieName");
//        rememberMeServices.setParameter("rememberMe");
        return rememberMeServices;
    }

    @Bean
    public LoggerListener loggerListener() {
        return new LoggerListener();
    }
}

CustomUserDetailsServiceImpl

public class CustomUserDetailsServiceImpl implements UserDetailsContextMapper {

    @Autowired
    SecurityHelper securityHelper;
    Log ___log = LogFactory.getLog(this.getClass());

    @Override
    public LoggedInUserDetails mapUserFromContext(DirContextOperations ctx, String username, Collection<? extends GrantedAuthority> grantedAuthorities) {

        LoggedInUserDetails userDetails = null;
        try {
            userDetails = securityHelper.authenticateUser(ctx, username, grantedAuthorities);
        } catch (NamingException e) {
            e.printStackTrace();
        }

        return userDetails;
    }

    @Override
    public void mapUserToContext(UserDetails user, DirContextAdapter ctx) {

    }
}

我知道我需要以某种方式实现 UserService，但不确定如何实现。

最佳答案

使用 LDAP 配置 RememberMe 功能有两个问题:

选择正确的 RememberMe 实现( token 与 PersistentTokens)

它的配置使用 Spring 的 Java Configuration

我会一步一步来。

基于 token 的记住我功能 ( TokenBasedRememberMeServices ) 在身份验证期间以下列方式工作:

用户通过身份验证(反对 AD)，我们目前知道用户的 ID 和密码

我们构造值 username + expireTime + password + staticKey 并为其创建 MD5 哈希

我们创建了一个包含用户名 + 过期时间 + 计算出的哈希值的 cookie

当用户想要返回服务并使用“记住我”功能进行身份验证时，我们:

检查 cookie 是否存在且未过期

从 cookie 中填充用户 ID 并调用提供的 UserDetailsService，该服务应返回与用户 ID 相关的信息，包括密码

然后我们根据返回的数据计算哈希值，并验证 cookie 中的哈希值是否与我们计算的值匹配

如果匹配，我们返回用户的身份验证对象

哈希检查过程是必需的，以确保没有人可以创建“假的”记住我的 cookie，这会让他们冒充另一个用户。问题是这个过程依赖于从我们的存储库加载密码的可能性——但是这对于 Active Directory 是不可能的——我们无法根据用户名加载纯文本密码。

这使得基于 token 的实现不适合与 AD 一起使用(除非我们开始创建一些包含密码或其他一些基于用户的 secret 凭据的本地用户存储，我不建议这种方法，因为我不知道其他细节您的应用程序，尽管它可能是一个不错的方法)。

另一个记住我的实现基于持久 token ( PersistentTokenBasedRememberMeServices )，它的工作方式如下(以稍微简化的方式):

当用户进行身份验证时，我们会生成一个随机 token

我们将 token 以及与其关联的用户 ID 信息一起存储在存储中

我们创建了一个包含 token ID

的 cookie

当用户想要进行身份验证时，我们:

检查我们是否有带有 token ID 的 cookie 可用

验证数据库中是否存在 token ID

根据数据库中的信息加载用户的数据

如您所见，不再需要密码，尽管我们现在需要一个 token 存储(通常是数据库，我们可以使用内存进行测试)来代替密码验证。

这让我们进入配置部分。基于持久 token 的记住我的基本配置如下所示:

@Override
protected void configure(HttpSecurity http) throws Exception {           
    ....
    String internalSecretKey = "internalSecretKey";
    http.rememberMe().rememberMeServices(rememberMeServices(internalSecretKey)).key(internalSecretKey);
}

 @Bean
 public RememberMeServices rememberMeServices(String internalSecretKey) {
     BasicRememberMeUserDetailsService rememberMeUserDetailsService = new BasicRememberMeUserDetailsService();
     InMemoryTokenRepositoryImpl rememberMeTokenRepository = new InMemoryTokenRepositoryImpl();
     PersistentTokenBasedRememberMeServices services = new PersistentTokenBasedRememberMeServices(staticKey, rememberMeUserDetailsService, rememberMeTokenRepository);
     services.setAlwaysRemember(true);
     return services;
 }

此实现将使用内存 token 存储，应替换为 JdbcTokenRepositoryImpl用于生产。提供的 UserDetailsService负责为由从记住我的 cookie 加载的用户 ID 标识的用户加载附加数据。最简单的实现如下所示:

public class BasicRememberMeUserDetailsService implements UserDetailsService {
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         return new User(username, "", Collections.<GrantedAuthority>emptyList());
     }
}

您也可以提供另一个 UserDetailsService根据您的需要，从您的 AD 或内部数据库加载其他属性或组成员身份的实现。它可能看起来像这样:

@Bean
public RememberMeServices rememberMeServices(String internalSecretKey) {
    LdapContextSource ldapContext = getLdapContext();

    String searchBase = "OU=Users,DC=test,DC=company,DC=com";
    String searchFilter = "(&(objectClass=user)(sAMAccountName={0}))";
    FilterBasedLdapUserSearch search = new FilterBasedLdapUserSearch(searchBase, searchFilter, ldapContext);
    search.setSearchSubtree(true);

    LdapUserDetailsService rememberMeUserDetailsService = new LdapUserDetailsService(search);
    rememberMeUserDetailsService.setUserDetailsMapper(new CustomUserDetailsServiceImpl());

    InMemoryTokenRepositoryImpl rememberMeTokenRepository = new InMemoryTokenRepositoryImpl();

    PersistentTokenBasedRememberMeServices services = new PersistentTokenBasedRememberMeServices(internalSecretKey, rememberMeUserDetailsService, rememberMeTokenRepository);
    services.setAlwaysRemember(true);
    return services;
}

@Bean
public LdapContextSource getLdapContext() {
    LdapContextSource source = new LdapContextSource();
    source.setUserDn("user@"+DOMAIN);
    source.setPassword("password");
    source.setUrl(URL);
    return source;
}

这将使您记住我的功能，该功能可与 LDAP 一起使用并在 RememberMeAuthenticationToken 中提供加载的数据将在 SecurityContextHolder.getContext().getAuthentication() 中提供.它还可以重用您现有的逻辑来将 LDAP 数据解析为用户对象 ( CustomUserDetailsServiceImpl )。

作为一个单独的主题，问题中发布的代码也存在一个问题，您应该替换:

    authManagerBuilder
            .authenticationProvider(activeDirectoryLdapAuthenticationProvider())
            .userDetailsService(userDetailsService())
    ;

和:

    authManagerBuilder
            .authenticationProvider(activeDirectoryLdapAuthenticationProvider())
    ;

对 userDetailsService 的调用应该仅用于添加基于 DAO 的身份验证(例如针对数据库)，并且应该使用用户详细信息服务的真实实现来调用。您当前的配置可能会导致无限循环。

关于java - Spring Security LDAP 和记住我，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/24745528/

文章推荐： java - 如何在spring-boot中添加多个application.properties文件？

文章推荐： java - 有没有办法正确集成 spring-batch-admin 和 spring-boot ？

assembly - 他们如何如此快地将十进制转换为十六进制(记住)？
我观察到很少有逆向工程师，他们将十进制转换为十六进制的速度如此之快。这简直太神奇了。我一直没有机会问他们。就我个人而言，我真的很讨厌这个转换，而且我总是使用计算器进行转换。我想知道这种转换是否有某种
Java - 记住/保存输入字段的程序
我有一个程序使用三个 JTextField 字段作为主要数据输入字段。我想要它，以便当用户终止程序然后再次打开它时，他们的最后一个条目仍将在字段中。我怎样才能做到这一点？我需要某种数据库还是有更简单
javascript - 记住 $(this) 是什么
我有以下脚本将 jquery 生成的对象的颜色更改为蓝色: $(".objects_list").live('click', function(event) { $(this).css("co
reactjs - 记住 React 中的所有内容是一种不好的做法吗？
这个问题在这里已经有了答案: Is it a good idea to memoize all of my react components? (2 个答案) 关闭去年。我知道使用 React.m
r - 记住 Rcpp 函数？
我在 R 中编写了一个递归函数并使用 memoise 来加速它。我试图通过在 Rcpp 中编写它然后记住 Rcpp 函数来进一步加快它的速度，但 R 函数更快。为什么会这样，有什么方法可以加快我的使用
iphone - NSUserDefaults 记住 View
我的应用程序包含几个 View ，我想在应用程序启动且用户尚未完成向导时显示一个小设置。我知道我可以使用 NSUserDefaults 实现此目的，但我不确定如何使其根据 NSUserDefaults
delphi - Delphi“记住”旧的DCU依赖关系
我正在从一台机器（相同版本的Delphi）开发应用程序。该应用程序的原始版本使用了TMS包中的TMoneyEdit组件。在移动项目时，我想删除对该产品的依赖。因此，在源代码中，我删除了TMoneyEd
sql - 如何“记住”一个值插入到SQLite的两个表？
我有一个触发器，希望将相同的随机值插入两个表中。我该怎么做呢？在TableAB上插入后创建触发器insertTrigger 开始插入TableA（id，num）VALUES（RANDOM（），1）
Javascript 记住 HTML 标签内容并在持续时间后替换
我有以下代码，通过 .swf 解决方案将服务器 IP 复制到客户端的剪贴板。正如您所看到的，它用成功的“已复制”消息替换了“复制 IP”按钮。我该如何让“复制 IP”按钮在显示成功消息 5 秒后返回，
javascript - 记住 GPS 权限状态
我正在使用 GPS 定位功能，问题是权限弹出窗口一遍又一遍地出现(每次新的网址刷新/按 F5 键)。我如何记住用户在浏览器中选择的状态(已批准或已拒绝)。 if (navigator.geoloca
javascript - 记住 "click"之前的原始状态
有一个按钮(实际上有很多)，它有一个事件处理程序: el.onclick = function(){ if(this.className.indexOf("minimized") != -1)
javascript - 记住 JavaScript 跨页幻灯片中的图像编号
我正在制作一个纯 html+JavaScript 幻灯片。幻灯片位于网站的侧边栏中，该网站为每个具有幻灯片侧边栏的页面加载了 php。唯一没有侧边栏的页面是主页。幻灯片放映工作正常。然而，可以理解的
javascript - 记住 Chrome 扩展中的大字符串
我想制作一个 Chrome 扩展程序，它将存储来自用户的潜在大型代码片段(以及代码片段的名称)并使用它们。我希望用户能够上传包含这些片段的文件(或者更好的是，将这些片段复制并粘贴到扩展程序选项页面的
methods - 记住 Groovy 中的成员方法
我有一个方法是 pure function并需要一段时间才能运行。我想记住这个方法，以便后续调用更快。我可以在 Groovy 的文档中看到，您可以通过以下方式内存闭包: foo = {…}.memoi
jquery - 记住 jQuery 中的触发器
[jQuery][1] 始终记住您的鼠标触发器，无论是单击还是悬停。因此，如果您鼠标输入和鼠标退出四次，它将执行该事件四次。如何让它“忘记”触发器，以便当我用鼠标输入和退出触发器时它只执行一次？编
unix - 记住 *nix 命令行参数
对于我的开发人员工作，我几乎整天都在 *nix shell 环境中工作，但似乎仍然无法记住我每天不使用的程序的名称和参数细节。我想知道其他“临时健忘症患者”是如何处理这个问题的。你有一个大的备忘单吗？
php - 记住 cookie 中的表单值以便稍后完成
我有一个表格，在客户填写各种表格后，我希望能够浏览网站，并返回表格并保持填写状态。我考虑过在浏览器的客户端中保留 cookie，您可能会推荐其他方法吗？关于代码，这里是 o 想到的 javascr
swift 。记住 Facebook 登录信息
好的，我已经实现了 Facebook 登录按钮: loginButton.readPermissions = ["public_profile", "email", "user_friends"] l
javascript - 记住 AngularJS 中选项卡之间的计数
我在移动应用程序中使用 AngularJS。用户能够将产品添加到订单中。但是我使用了不同的选项卡，以便用户可以在类别之间切换，并且对于每个类别，都会显示属于该类别的产品。这些产品可以添加到他/她的订单
android - 记住 ListView 中选中的复选框
我有一个使用自定义适配器、布局和模型类的 ListView (包含文本和复选框)。我想将选定的复选框保存在 sqlite 数据库中，以便当我导航到另一个 Activity 然后返回时，选定的复选框保持

IT老高

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - Spring Security LDAP 和记住我