我正在使用Spring MVC网站并通过LDAP在Active Directory中添加身份验证。该公司不希望使用AD权限来映射网站的权限,我们有一个列出每个用户权限的数据库,因此我尝试连接到该权限,获取权限,并将其添加到用户的身份验证令牌。
当我第一次开始时,我正在使用GrantedAuthoritiesMapper映射AD用户组的权限,我就是这样做的。它看起来像这样:
public class ActiveDirectoryGrantedAuthoritiesMapper implements GrantedAuthoritiesMapper {
private static final String ROLE_ADMIN = "adminUserGroup";
public ActiveDirectoryGrantedAuthoritiesMapper()
{ }
public Collection<? extends GrantedAuthority> mapAuthorities(
final Collection<? extends GrantedAuthority> authorities)
{
Set<CustomAuthority> roles = EnumSet.noneOf(CustomAuthority.class);
for (GrantedAuthority authority : authorities)
{
if (ROLE_ADMIN.equals(authority.getAuthority()))
{
roles.add(CustomAuthority.ROLE_ADMIN);
}
//Default role for all users.
roles.add(CustomAuthority.ROLE_EMPLOYEE);
}
return roles;
}
}
现在我正在尝试将其转换为查询我们的数据库以获取权限。由于两个原因,我离开GrantedAuthoritiesMapper这样做了。首先,我没有使用LDAP的权限,为什么要拦截它们呢?还因为我无法弄清楚如何在GrantedAuthoritiesMapper内获取登录用户的名称。我尝试使用SecurityContext,但每当我尝试拨打NullPointerException时,它就会给我一个context.getAuthentication().getName()我假设因为用户尚未完全通过身份验证。
所以我转而使用AuthenticationSuccessHandler。我试图保持逻辑差不多。我正在尝试使用authentication.getAuthorities().add(...);将角色添加到用户的身份验证令牌,但我收到的错误是CustomAuthority未展开GrantedAuthority。它没有扩展它,但它实现了接口。我想知道这是因为它是一个枚举,所以我把它改成了一个类,我仍然得到错误。以下是我现在拥有的自定义AuthenticationSuccessHandler的代码:
public class CustomAuthoritiesMapper implements AuthenticationSuccessHandler
{
private CustomPermissionDAO permissionsDao = new CustomPermissionDAO();
private static final String ROLE_ADMIN = "ADMIN_ACCOUNT";
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
throws IOException, ServletException
{
List<GrantedAuthority> roles = new ArrayList<GrantedAuthority>();
List<DatabasePermission> permissionsForUser = permissionsDao.getPermissionByUsername(authentication.getName());
for (DatabasePermission permission : permissionsForUser)
{
if (ROLE_ADMIN.equals( permission.getTag() ))
{
roles.add(new CustomAuthority("ROLE_ADMIN"));
}
//Default role for all users.
roles.add(new DashboardAuthority("ROLE_EMPLOYEE"));
}
for(GrantedAuthority auth : roles)
{
authentication.getAuthorities().add(auth);
}
}
}
我已经尝试了几乎所有我能想到的组合......我已将List<GrantedAuthority>更改为CustomAuthority对象列表。我尝试过使用addAll(roles)而不是添加个别的..每次我都会得到同样错误的变体:
类型Collection中的方法add(capture#1-of?extends GrantedAuthority)不适用于参数(GrantedAuthority)
CustomAuthority代码:
public class CustomAuthority implements GrantedAuthority
{
private String name;
public CustomAuthority(String name)
{
this.name = name;
}
public String getAuthority() {
return name;
}
}
非常感谢任何帮助。
从查看“相关问题”看来,authentication.getName()可能在这里不起作用,但我想弄清楚为什么在解决该问题之前我无法添加我想要添加到用户权限的权限
答案 0 :(得分:2)
这不是你原来问题的答案。这是关于如何以另一种方式完成这一过程的命题。
对我而言,看起来不寻常的是,您使用AuthenticationSuccessHandler来完成AuthenticationManager和AuthenticationProviders应该完成的事情。想象一下两个AuthenticationProviders,一个用于LDAP,一个用于DB。问题是,如果您通过默认AuthenticationManager组合它们,那么将只使用第一个提供程序。您可以使用稍微不同的逻辑准备自定义AuthenticationManager:
缺点:想要添加第三个身份验证提供程序的新开发人员可能会对自定义AuthenticationManager感到惊讶。
优点:我认为代码适合于正确的地方。
希望这有帮助。
答案 1 :(得分:1)
您无法从SecurityContext获取当前用户名的原因是因为它尚未填充(您仍在努力确定要包含在其中的角色)。
一种选择是使用LdapAuthenticationProvider和一个LdapAuthoritiesPopulator as described in the FAQ。以下是FAQ
中的示例public class MyAuthoritiesPopulator implements LdapAuthoritiesPopulator {
@Autowired
JdbcTemplate template;
public List<GrantedAuthority> getGrantedAuthorities(DirContextOperations userData, String username) {
List<GrantedAuthority> = template.query("select role from roles where username = ?",
new String[] {username},
new RowMapper<GrantedAuthority>() {
/**
* We're assuming here that you're using the standard convention of using the role
* prefix "ROLE_" to mark attributes which are supported by Spring Security's RoleVoter.
*/
public GrantedAuthority mapRow(ResultSet rs, int rowNum) throws SQLException {
return new GrantedAuthorityImpl("ROLE_" + rs.getString(1));
}
});
}
}
这应该适合你,因为它传递了你的用户名。使用该用户名进行查询以获取用户的角色。
如FAQ中所述,您需要使用自定义LdapAuthoritiesPopulator将其连接到LdapAuthenticationProvider。
另一种选择是注入自定义UserDetailsContextMapper。默认值为LdapUserDetailsMapper,它可以让您了解如何实现逻辑。