我正在为Spring启动应用程序中的少数内部端点设置基本身份验证。在进行基本身份验证检查之前,我有一个用例来进行IP白名单验证。使用WebSecurityConfigurerAdapter配置方法,我能够实现这一点,但在ip白名单授权之前进行基本身份验证的顺序是相反的。
有没有办法让IP白名单在基本身份验证之前优先?
使用以下代码进行Web安全性
return new WebSecurityConfigurerAdapter() {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.disable()
.authorizeRequests()
.anyRequest()
.access("(hasIpAddress('xx.xx.xx.xx') and isAuthenticated()")
.and()
.httpBasic();
}
}
您必须按照配置中的顺序声明。
@Component
public class IPWhiteLister implements AuthenticationProvider {
Set<String> whitelist = new HashSet<String>();
public CustomIpAuthenticationProvider() {
whitelist.add("10.1.1.1");
whitelist.add("172.1.1.1");
}
@Override
public Authentication authenticate(Authentication auth) throws AuthenticationException {
WebAuthenticationDetails details = (WebAuthenticationDetails) auth.getDetails();
String userIp = details.getRemoteAddress();
if(! whitelist.contains(userIp)){
throw new BadCredentialsException("Invalid IP Address");
}
return auth;
}
并按照https://www.baeldung.com/spring-security-multiple-auth-providers中的步骤使用多个身份验证提供程序。您还必须覆盖另一个用于构建AuthenticationManagerBuilder的configure方法。您可以通过方法authenticationProvider添加多个身份验证提供程序。它没有什么欺骗性,因为签名并没有说它会允许你添加多个身份验证提供程序。
public class ApplicationSecurity extends WebSecurityConfigurerAdapter
{
Logger logger = LoggerFactory.getLogger(ApplicationSecurity.class);
@Autowired
private IPWhiteListFilter ipWhiteListFilter;
@Override
protected void configure(AuthenticationManagerBuilder auth){
auth.authenticationProvider(ipWhiteListFilter);
// FOLLOWING is just an example
auth.authenticationProvider(userNamePasswordAuthenticator)
}
...
而不是代码中的以下行
.access("(hasIpAddress('xx.xx.xx.xx') and isAuthenticated()")
只是用
.authenticated()