为不同的api端点提供多种身份验证方法

时间:2019-02-15 09:31:21

标签: spring spring-boot spring-security jwt x509

我想检查不同端点的不同身份验证方法。我要使用的方法是x509和jwt。我需要将 x509用于某些端点,并将JWT用于所有其他请求。

这是我的网络安全配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Configuration
    @Order(1)
    public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .authorizeRequests()
                .antMatchers("/api/transaction/testf").authenticated().and()
                .x509()
                .subjectPrincipalRegex("CN=(.*?)(?:,|$)")
                .userDetailsService(new X509UserDetailsService())
                ;
        }
    }

    @Configuration
    @Order(2)
    public static class ApiTokenSecurityConfig extends WebSecurityConfigurerAdapter{

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                .antMatchers("/oauth/token", "/api/dealer/login").permitAll()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                ;
        }

    }
}

此配置仅检查 / api / transaction / testf 端点是否具有x509证书,并允许所有其他端点进行响应。我需要其他端点返回没有jwt令牌的503。

1 个答案:

答案 0 :(得分:2)

您有两个过滤器链。它们都没有正确配置http.antMatcher的入口点模式。这意味着它们被配置为使用/**作为其入口点模式。

例如

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().fullyAuthenticated()

与说同一句话:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/**")
            .authorizeRequests()
                .anyRequest().fullyAuthenticated()

我们在这里说的是

  1. http-安全筛选器链
  2. http.antMatcher-安全过滤器链的入口点
  3. http.authorizeRequests-我的端点访问限制开始
  4. http.authorizeRequests.antMatchers-具有特定访问权限的URL列表

因此,您需要做的是更改@Order(1)过滤器链以缩小模式范围。例如:http.antMatcher("/api/transaction/**")

您的配置现在看起来像


    @Configuration
    @Order(1)
    public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .antMatcher("/api/transaction/**") //customized entry point
                .authorizeRequests()
                .antMatchers("/api/transaction/testf").authenticated().and()
                .x509()
                .subjectPrincipalRegex("CN=(.*?)(?:,|$)")
                .userDetailsService(new X509UserDetailsService())
                ;
        }
    }

    @Configuration
    @Order(2)
    public static class ApiTokenSecurityConfig extends WebSecurityConfigurerAdapter{

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .antMatcher("/**") //this is default
                .authorizeRequests()
                .antMatchers("/oauth/token", "/api/dealer/login").permitAll()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                ;
        }

使用现有配置,名为ApiWebSecurityConfig的过滤器链将捕获所有呼叫。另一个过滤器链ApiTokenSecurityConfig从未使用过。

您可以在此answer

中看到其他说明

SpringSecurity: Make RESTful API basic-auth authentication possible via only a single endpoint