Spring - 在所有自定义身份验证提供程序结束时记录安全违规

Posted 2023-02-27

【中文标题】Spring - 在所有自定义身份验证提供程序结束时记录安全违规

【英文标题】：Spring - Logging security violation at the end of all custom authentication providers

【发布时间】：2017-02-26 20:19:05

【问题描述】：

我有一个使用两个自定义身份验证提供程序的业务需求。现在，如果第一个提供者无法成功验证，它会通过 ApplicationEventPublisher 在 DB 中记录违规条目，第二个提供者也是如此。

现在有些用户只能由第二个提供者进行身份验证，而有些用户只能由第一个提供者进行身份验证，出于另一个业务原因，我需要同时使用这两个提供者并允许两组用户进行身份验证。

这里的问题是，如果用户能够通过任一提供者进行身份验证，我不希望记录安全违规。

只有在两个提供者都尝试过但失败时才会发生诸如违规记录之类的事情。我想为此使用 AuthenticationFailureHandler。

预期场景：

AuthProvider1 失败。 AuthProvider2 失败。 直到现在，违规才会被记录（可能通过 AuthenticationFailureHandler 或其他人可能建议的方式）。

问题是如何在两个 Auth Providers 都完成后将执行流程定向到 AuthenticationFailureHandler。

提前致谢！

【参考方案1】：

这就是它目前的工作方式——在没有成功验证的情况下遍历所有可用的提供者后，会抛出最后一个提供者的 AuthenticationException（或者如果全部弃权并且没有异常，则会抛出 ProviderNotFoundException）。此反弹流返回名为ProviderManager.authenticate()（通常是AbstractAuthenticationProcessingFilter 的子类）的过滤器，并调用AuthenticationFailureHandler.onAuthenticationFailure() 来执行身份验证失败后所需的任何工作，通常重定向回登录页面。

特别是查看ProviderManager 和authenticate() 的实现，您会发现它与您正在寻找的非常接近。您可能需要稍微调整一下逻辑，但应该能够重用其余的大部分内容。