APIのSpring webfluxカスタム認証

Question

Angular 5アプリケーションのAPIを作成しています。認証にJWTを使用したいと思います。
春のセキュリティで提供される機能を使用して、役割を簡単に操作できるようにします。

基本認証を無効にすることができました。しかし、http.authorizeExchange().anyExchange().authenticated();を使用すると、ログインプロンプトが表示されます。
プロンプトではなく403を指定したいだけです。そのため、トークンのAuthorizationヘッダーをチェックする「もの」（フィルターですか？）によってログインプロンプトをオーバーライドします。

JWTトークンを返すコントローラーで実行したいログイン。しかし、ユーザー資格情報の確認に使用するSpring Security Beanは何ですか？独自のサービスとリポジトリを構築できますが、Spring Securityが提供する機能を可能な限り使用したいと思います。

この質問の短いバージョンは次のとおりです。
Spring Securityの認証をカスタマイズするにはどうすればよいですか？
どのBeanを作成する必要がありますか？
構成はどこに置く必要がありますか？（現在、SecurityWebFilterChainのBeanを持っています）

Spring Securityを使用したwebfluxでの認証について見つけることができる唯一のドキュメントは次のとおりです。 https://docs.spring.io/spring-security/site/docs/5.0.0.BUILD-SNAPSHOT/reference/htmlsingle/ ＃jc-webflux

Jan Wytze · Accepted Answer

多くの検索と試行の後、私は解決策を見つけたと思います：

すべての構成を含むSecurityWebFilterChainのBeanが必要です。
これは私のものです：

_@Configuration public class SecurityConfiguration { @Autowired private AuthenticationManager authenticationManager; @Autowired private SecurityContextRepository securityContextRepository; @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { // Disable default security. http.httpBasic().disable(); http.formLogin().disable(); http.csrf().disable(); http.logout().disable(); // Add custom security. http.authenticationManager(this.authenticationManager); http.securityContextRepository(this.securityContextRepository); // Disable authentication for `/auth/**` routes. http.authorizeExchange().pathMatchers("/auth/**").permitAll(); http.authorizeExchange().anyExchange().authenticated(); return http.build(); } } _

HttpBasic、formLogin、csrf、およびログアウトを無効にして、カスタム認証を作成できるようにしました。

AuthenticationManagerとSecurityContextRepositoryを設定することで、リクエストに対してユーザーが認証/承認されているかどうかを確認するためのデフォルトのスプリングセキュリティ構成をオーバーライドしました。

認証マネージャー：

_@Component public class AuthenticationManager implements ReactiveAuthenticationManager { @Override public Mono<Authentication> authenticate(Authentication authentication) { // JwtAuthenticationToken is my custom token. if (authentication instanceof JwtAuthenticationToken) { authentication.setAuthenticated(true); } return Mono.just(authentication); } } _

認証マネージャーの用途は定かではありませんが、最終認証を行うためには、すべてが正しいときにauthentication.setAuthenticated(true);を設定すると思います。

SecurityContextRepository：

_@Component public class SecurityContextRepository implements ServerSecurityContextRepository { @Override public Mono<Void> save(ServerWebExchange serverWebExchange, SecurityContext securityContext) { // Don't know yet where this is for. return null; } @Override public Mono<SecurityContext> load(ServerWebExchange serverWebExchange) { // JwtAuthenticationToken and GuestAuthenticationToken are custom Authentication tokens. Authentication authentication = (/* check if authenticated based on headers in serverWebExchange */) ? new JwtAuthenticationToken(...) : new GuestAuthenticationToken(); return new SecurityContextImpl(authentication); } } _

ロード時に、ユーザーが認証されているかどうかserverWebExchangeのヘッダーに基づいて確認します。 https://github.com/jwtk/jjwt を使用します。ユーザーが認証されているかどうかにかかわらず、別の種類の認証トークンを返します。

Angelo Immediata · Answer

私の古いプロジェクトでは、この構成を使用しました。

@Configuration @EnableWebSecurity @Import(WebMvcConfig.class) @PropertySource(value = { "classpath:config.properties" }, encoding = "UTF-8", ignoreResourceNotFound = false) public class WebSecWebSecurityCfg extends WebSecurityConfigurerAdapter { private UserDetailsService userDetailsService; @Autowired @Qualifier("objectMapper") private ObjectMapper mapper; @Autowired @Qualifier("passwordEncoder") private PasswordEncoder passwordEncoder; @Autowired private Environment env; public WebSecWebSecurityCfg(UserDetailsService userDetailsService) { this.userDetailsService = userDetailsService; } @Override protected void configure(HttpSecurity http) throws Exception { JWTAuthorizationFilter authFilter = new JWTAuthorizationFilter ( authenticationManager(),//Auth mgr env.getProperty("config.secret.symmetric.key"), //Chiave simmetrica env.getProperty("config.jwt.header.string"), //nome header env.getProperty("config.jwt.token.prefix") //Prefisso token ); JWTAuthenticationFilter authenticationFilter = new JWTAuthenticationFilter ( authenticationManager(), //Authentication Manager env.getProperty("config.secret.symmetric.key"), //Chiave simmetrica Long.valueOf(env.getProperty("config.jwt.token.duration")),//Durata del token in millisecondi env.getProperty("config.jwt.header.string"), //nome header env.getProperty("config.jwt.token.prefix"), //Prefisso token mapper ); http .cors() .and() .csrf() .disable() .authorizeRequests() .anyRequest() .authenticated() .and() .addFilter(authenticationFilter) .addFilter(authFilter) // Disabilitiamo la creazione di sessione in spring .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder); } @Bean CorsConfigurationSource corsConfigurationSource() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", new CorsConfiguration().applyPermitDefaultValues()); return source; } }

JWTAuthorizationFilterは次のとおりです。

public class JWTAuthorizationFilter extends BasicAuthenticationFilter { private static final Logger logger = LoggerFactory.getLogger(JWTAuthenticationFilter.class.getName()); private String secretKey; private String headerString; private String tokenPrefix; public JWTAuthorizationFilter(AuthenticationManager authenticationManager, AuthenticationEntryPoint authenticationEntryPoint, String secretKey, String headerString, String tokenPrefix) { super(authenticationManager, authenticationEntryPoint); this.secretKey = secretKey; this.headerString = headerString; this.tokenPrefix = tokenPrefix; } public JWTAuthorizationFilter(AuthenticationManager authenticationManager, String secretKey, String headerString, String tokenPrefix) { super(authenticationManager); this.secretKey = secretKey; this.headerString = headerString; this.tokenPrefix = tokenPrefix; } @Override protected void onUnsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException { AuthenticationErrorEnum customErrorCode = null; StringBuilder builder = new StringBuilder(); if( failed.getCause() instanceof MissingJwtTokenException ) { customErrorCode = AuthenticationErrorEnum.TOKEN_JWT_MANCANTE; } else if( failed.getCause() instanceof ExpiredJwtException ) { customErrorCode = AuthenticationErrorEnum.TOKEN_JWT_SCADUTO; } else if( failed.getCause() instanceof MalformedJwtException ) { customErrorCode = AuthenticationErrorEnum.TOKEN_JWT_NON_CORRETTO; } else if( failed.getCause() instanceof MissingUserSubjectException ) { customErrorCode = AuthenticationErrorEnum.TOKEN_JWT_NESSUN_UTENTE_TROVATO; } else if( ( failed.getCause() instanceof GenericJwtAuthorizationException ) || ( failed.getCause() instanceof Exception ) ) { customErrorCode = AuthenticationErrorEnum.ERRORE_GENERICO; } builder.append("Errore duranre l'autorizzazione. "); builder.append(failed.getMessage()); JwtAuthApiError apiError = new JwtAuthApiError(HttpStatus.UNAUTHORIZED, failed.getMessage(), Arrays.asList(builder.toString()), customErrorCode); String errore = ( new ObjectMapper() ).writeValueAsString(apiError); response.setContentType(MediaType.APPLICATION_JSON_VALUE); response.sendError(HttpStatus.UNAUTHORIZED.value(), errore); request.setAttribute(IRsConstants.API_ERROR_REQUEST_ATTR_NAME, apiError); }

JWTAuthenticationFilterは

public class JWTAuthenticationFilter extends UsernamePasswordAuthenticationFilter { private AuthenticationManager authenticationManager; private String secretKey; private long tokenDurationMillis; private String headerString; private String tokenPrefix; private ObjectMapper mapper; @Override protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException { AuthenticationErrorEnum customErrorCode = null; StringBuilder builder = new StringBuilder(); if( failed instanceof BadCredentialsException ) { customErrorCode = AuthenticationErrorEnum.CREDENZIALI_SERVIZIO_ERRATE; } else { //Teoricamente nella fase di autenticazione all'errore generico non dovrebbe mai arrivare customErrorCode = AuthenticationErrorEnum.ERRORE_GENERICO; } builder.append("Errore durante l'autenticazione del servizio. "); builder.append(failed.getMessage()); JwtAuthApiError apiError = new JwtAuthApiError(HttpStatus.UNAUTHORIZED, failed.getMessage(), Arrays.asList(builder.toString()), customErrorCode); String errore = mapper.writeValueAsString(apiError); response.setContentType(MediaType.APPLICATION_JSON_VALUE); response.sendError(HttpStatus.UNAUTHORIZED.value(), errore); request.setAttribute(IRsConstants.API_ERROR_REQUEST_ATTR_NAME, apiError); } public JWTAuthenticationFilter(AuthenticationManager authenticationManager, String secretKey, long tokenDurationMillis, String headerString, String tokenPrefix, ObjectMapper mapper) { super(); this.authenticationManager = authenticationManager; this.secretKey = secretKey; this.tokenDurationMillis = tokenDurationMillis; this.headerString = headerString; this.tokenPrefix = tokenPrefix; this.mapper = mapper; } @Override public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res) throws AuthenticationException { try { ServiceLoginDto creds = new ObjectMapper().readValue(req.getInputStream(), ServiceLoginDto.class); return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(creds.getCodiceServizio(), creds.getPasswordServizio(), new ArrayList<>())); } catch (IOException e) { throw new RuntimeException(e); } } @Override protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain, Authentication auth) throws IOException, ServletException { DateTime dt = new DateTime(); Date expirationTime = dt.plus(getTokenDurationMillis()).toDate(); String token = Jwts .builder() .setSubject(((User) auth.getPrincipal()).getUsername()) .setExpiration(expirationTime) .signWith(SignatureAlgorithm.HS512, getSecretKey().getBytes()) .compact(); res.addHeader(getHeaderString(), getTokenPrefix() + token); res.addHeader("jwtExpirationDate", expirationTime.toString()); res.addHeader("jwtTokenDuration", String.valueOf(TimeUnit.MILLISECONDS.toMinutes(getTokenDurationMillis()))+" minuti"); } public String getSecretKey() { return secretKey; } public void setSecretKey(String secretKey) { this.secretKey = secretKey; } public long getTokenDurationMillis() { return tokenDurationMillis; } public void setTokenDurationMillis(long tokenDurationMillis) { this.tokenDurationMillis = tokenDurationMillis; } public String getHeaderString() { return headerString; } public void setHeaderString(String headerString) { this.headerString = headerString; } public String getTokenPrefix() { return tokenPrefix; } public void setTokenPrefix(String tokenPrefix) { this.tokenPrefix = tokenPrefix; } }

ユーザーの詳細は従来のuserservicedetailです

@Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private IServizioService service; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { Service svc; try { svc = service.findBySvcCode(username); } catch (DbException e) { throw new UsernameNotFoundException("Errore durante il processo di autenticazione; "+e.getMessage(), e); } if (svc == null) { throw new UsernameNotFoundException("Nessun servizio trovato per il codice servizio "+username); } else if( !svc.getAbilitato().booleanValue() ) { throw new UsernameNotFoundException("Servizio "+username+" non abilitato"); } return new User(svc.getCodiceServizio(), svc.getPasswordServizio(), Collections.emptyList()); } }

私はSpring webfluxを使用しなかったことに注意してください

私はそれが有用であることを願っています

アンジェロ

Mica · Answer

Janに感謝します。SpringWebfluxアプリケーションの認証とAPIへの安全なアクセスをカスタマイズするためのサンプルを作成してくれました。
私の場合は、ヘッダーを読み取ってユーザーロールを設定するだけで、Springセキュリティがユーザーの承認を確認してメソッドへのアクセスを保護するようにします。
SecurityConfigurationでカスタムhttp.securityContextRepository(this.securityContextRepository);を使用してキーを指定しました（カスタムauthenticationManagerは不要です）。

このSecurityContextRepositoryのおかげで、カスタム認証（以下に簡略化）を構築および設定できました。

@Override public Mono<SecurityContext> load(ServerWebExchange serverWebExchange) { String role = serverWebExchange.getRequest().getHeaders().getFirst("my-header"); Authentication authentication = new AnonymousAuthenticationToken("authenticated-user", someUser, AuthorityUtils.createAuthorityList(role) ); return Mono.just(new SecurityContextImpl(authentication)); }

したがって、これらのロールを使用してメソッドを保護できます。

@Component public class MyService { @PreAuthorize("hasRole('ADMIN')") public Mono<String> checkAdmin() { // my secure method } }

user2669657 · Answer

同じ問題（Webflux + Custom Authentication + JWT）AuthenticationWebFilter、カスタムServerAuthenticationConverter、およびReactiveAuthenticationManagerを使用して解決しました。コードに従って、将来誰かを助けることができます。最新バージョンでテスト済み（spring-boot 2.1.1.RELEASE）。

@EnableWebFluxSecurity @EnableReactiveMethodSecurity public class SpringSecurityConfiguration { @Bean public SecurityWebFilterChain configure(ServerHttpSecurity http) { return http .csrf() .disable() .headers() .frameOptions().disable() .cache().disable() .and() .authorizeExchange() .pathMatchers(AUTH_WHITELIST).permitAll() .anyExchange().authenticated() .and() .addFilterAt(authenticationWebFilter(), SecurityWebFiltersOrder.AUTHENTICATION) .httpBasic().disable() .formLogin().disable() .logout().disable() .build(); } private AuthenticationWebFilter authenticationWebFilter() { AuthenticationWebFilter authenticationWebFilter = new AuthenticationWebFilter(reactiveAuthenticationManager()); authenticationWebFilter.setServerAuthenticationConverter(new JwtAuthenticationConverter(tokenProvider)); NegatedServerWebExchangeMatcher negateWhiteList = new NegatedServerWebExchangeMatcher(ServerWebExchangeMatchers.pathMatchers(AUTH_WHITELIST)); authenticationWebFilter.setRequiresAuthenticationMatcher(negateWhiteList); authenticationWebFilter.setSecurityContextRepository(new WebSessionServerSecurityContextRepository()); authenticationWebFilter.setAuthenticationFailureHandler(responseError()); return authenticationWebFilter; } } public class JwtAuthenticationConverter implements ServerAuthenticationConverter { private final TokenProvider tokenProvider; public JwtAuthenticationConverter(TokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } private Mono<String> resolveToken(ServerWebExchange exchange) { log.debug("servletPath: {}", exchange.getRequest().getPath()); return Mono.justOrEmpty(exchange.getRequest().getHeaders().getFirst(HttpHeaders.AUTHORIZATION)) .filter(t -> t.startsWith("Bearer ")) .map(t -> t.substring(7)); } @Override public Mono<Authentication> convert(ServerWebExchange exchange) { return resolveToken(exchange) .filter(tokenProvider::validateToken) .map(tokenProvider::getAuthentication); } } public class CustomReactiveAuthenticationManager extends UserDetailsRepositoryReactiveAuthenticationManager { public CustomReactiveAuthenticationManager(ReactiveUserDetailsService userDetailsService) { super(userDetailsService); } @Override public Mono<Authentication> authenticate(Authentication authentication) { if (authentication.isAuthenticated()) { return Mono.just(authentication); } return super.authenticate(authentication); } }

PS： https://github.com/jhipster/jhipster-registry/blob/master/src/main/Java/io/github/jhipster/registry/security/jwt/TokenProviderにあるTokenProviderクラス。 Java