Spring Security HTTP Basic for RESTFul et FormLogin (Cookies) for web - Annotations

Question

en particulier

Je veux avoir l'authentification HTTP Basic UNIQUEMENT pour un modèle d'URL spécifique.

en détail

Je crée une interface API pour mon application et qui doit être authentifiée par une simple authentification de base HTTP . Mais d'autres pages Web devraient pas utiliser HTTP de base mais plutôt une connexion au formulaire normal .

Configuration actuelle - ne fonctionne pas

@Override protected void configure(HttpSecurity http) throws Exception { http //HTTP Security .csrf().disable() //Disable CSRF .authorizeRequests() //Authorize Request Configuration .antMatchers("/connect/**").permitAll() .antMatchers("/", "/register").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/api/**").hasRole("API") .anyRequest().authenticated() .and() //HTTP basic Authentication only for API .antMatcher("/api/**").httpBasic() .and() //Login Form configuration for all others .formLogin().loginPage("/login").permitAll() .and() //Logout Form configuration .logout().permitAll(); }

Faraj Farook · Accepted Answer

J'ai attendu 2 jours et je n'ai reçu aucune aide ici. Mais mes recherches m'ont apporté une solution :)

Solution

@Configuration @EnableWebMvcSecurity @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ @Autowired private AuthenticationProvider authenticationProvider; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(authenticationProvider); } @Configuration @Order(1) public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .antMatcher("/api/**") .authorizeRequests() .anyRequest().hasAnyRole("ADMIN", "API") .and() .httpBasic(); } } @Configuration @Order(2) public static class FormWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/css/**", "/js/**", "/img/**", "/lib/**"); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() //HTTP with Disable CSRF .authorizeRequests() //Authorize Request Configuration .antMatchers("/connect/**").permitAll() .antMatchers("/", "/register").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() //Login Form configuration for all others .formLogin() .loginPage("/login").permitAll() .and() //Logout Form configuration .logout().permitAll(); } } }

Andrea L. · Answer

Je ne sais pas si cela peut être utile mais je n'ai pas pu implémenter la solution ci-dessus. J'ai trouvé une solution de contournement définissant une seule sécurité

@Configuration class

extension

WebSecurityConfigurerAdapter

avec à la fois httpBasic () et formLogin () configurés. Ensuite, j'ai créé une coutume

CustomAuthEntryPoint implémente AuthenticationEntryPoint

qui a cette logique dans la méthode begin:

 @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { String urlContext = UtilityClass.extractUrlContext(request); if (!urlContext.equals(API_URL_PREFIX)) { String redirectUrl = "urlOfFormLogin" response.sendRedirect(request.getContextPath() + redirectUrl); } else { response.sendError(HttpServletResponse.SC_UNAUTHORIZED); }

Je ne sais pas qui est la "stratégie des meilleures pratiques" à ce sujet