在这里,我的方案有点类似于Gmail的双因素身份验证。当用户成功登录(SMS代码发送给用户)时,他将被另一页面挑战以输入SMS代码。如果用户正确获取SMS代码,则会显示安全页面(如Gmail收件箱)。
我对此进行了一些研究,suggestion是在登录时给予ROLE_USER而不是给他PRE_AUTH_USER并显示他输入SMS代码的第二页;成功后给他们ROLE_USER。
但是,我的问题是Spring有InsufficientAuthenticationException,在这种情况下我们不会使用它。在我的场景中是否还有其他更好的方法来实现双因素身份验证?
P.S。我有一些定制的弹簧安全配置。在我的登录页面,除了用户名和密码,我也有Recaptcha验证,我的authenticationProviderm authenticationSuccessHandler,logoutSuccessHandler,accessDeniedHandler都是自定义的。
答案 0 :(得分:6)
SMS代码验证成功后,您可以按如下方式授予ROLE_USER权限。
private void grantAuthority() {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(auth.getAuthorities());
authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
Authentication newAuth =
new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(),
authorities);
SecurityContextHolder.getContext().setAuthentication(newAuth);
}
代码来自blog post和sample application,已实施双因素身份验证。如果我早点发现它会节省很多时间!!!
答案 1 :(得分:4)
如果第一级身份验证通过,请尝试抛出InsufficientAuthenticationException,然后使用ExceptionTranslationFilter将其捕获并转发到第二级身份验证页面。
双因素身份验证页面可以在隐藏字段中重新提交用户名和密码,以及双因素令牌。在第二次,自定义身份验证提供程序将能够成功验证用户。