预身份验证 (Pre-Authentication) _ Spring Security6.4.0-SNAPSHOT中文文档(官方文档中文翻译)|Spring 教程 —

此版本仍在开发中，尚未被视为稳定版本。对于最新的稳定版本，请使用 Spring Security 6.3.3！spring-doc.cn

示例包括 X.509、Siteminder 和运行应用程序的 Java EE 容器的身份验证。使用预身份验证时，Spring Security 必须：spring-doc.cn

确定发出请求的用户。spring-doc.cn
获取用户的权限。spring-doc.cn

详细信息取决于外部身份验证机制。在 X.509 的情况下，用户可能通过其证书信息来识别，在 Siteminder 的情况下，可以通过 HTTP 请求标头来识别。如果依赖于容器身份验证，则通过对传入的 HTTP 请求调用方法来识别用户。在某些情况下，外部机制可能会为用户提供角色和权限信息。但是，在其他情况下，您必须从单独的来源（如 .getUserPrincipal()UserDetailsServicespring-doc.cn

预身份验证框架类

因为大多数预身份验证机制都遵循相同的模式，所以 Spring Security 有一组类，这些类为实现预身份验证的身份验证提供程序提供了一个内部框架。这消除了重复，并允许以结构化的方式添加新的实现，而无需从头开始编写所有内容。如果您想使用类似 X.509 身份验证的东西，则无需了解这些类，因为它已经有一个命名空间配置选项，更易于使用和开始使用。如果您需要使用显式 bean 配置或计划编写自己的实现，则需要了解所提供的实现是如何工作的。您可以在 . 我们在此处仅提供大纲，因此您应该在适当的情况下查阅 Javadoc 和源代码。org.springframework.security.web.authentication.preauthspring-doc.cn

AbstractPreAuthenticatedProcessingFilter

此类检查安全上下文的当前内容，如果它为空，则尝试从 HTTP 请求中提取用户信息并将其提交给 . 子类会覆盖以下方法来获取此信息。AuthenticationManagerspring-doc.cn

覆盖 AbstractPreAuthenticatedProcessingFilter

Javaspring-doc.cn
Kotlinspring-doc.cn

protected abstract Object getPreAuthenticatedPrincipal(HttpServletRequest request);

protected abstract Object getPreAuthenticatedCredentials(HttpServletRequest request);

protected abstract fun getPreAuthenticatedPrincipal(request: HttpServletRequest): Any?

protected abstract fun getPreAuthenticatedCredentials(request: HttpServletRequest): Any?

调用这些选项后，筛选条件会创建一个包含返回数据的数据，并将其提交进行身份验证。这里的“身份验证”实际上只是指进一步处理以可能加载用户的权限，但遵循标准的 Spring Security 身份验证体系结构。PreAuthenticatedAuthenticationTokenspring-doc.cn

与其他 Spring Security 身份验证过滤器一样，预身份验证过滤器具有一个属性，默认情况下，该属性会创建一个对象来存储其他信息，例如会话标识符和对象属性中的原始 IP 地址。如果可以从预身份验证机制获取用户角色信息，则数据也存储在此属性中，详细信息实现接口。这使身份验证提供程序能够读取从外部分配给用户的权限。接下来我们来看一个具体的例子。authenticationDetailsSourceWebAuthenticationDetailsdetailsAuthenticationGrantedAuthoritiesContainerspring-doc.cn

J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource

如果过滤器配置了，则它是此类的实例，则通过调用一组预先确定的“可映射角色”的方法来获取权限信息。该类从配置的 . 可能的实现包括在应用程序上下文中对列表进行硬编码，以及从文件中的信息中读取角色信息。预身份验证示例应用程序使用后一种方法。authenticationDetailsSourceisUserInRole(String role)MappableAttributesRetriever<security-role>web.xmlspring-doc.cn

还有一个额外的阶段，其中角色（或属性）通过使用配置的 . 默认值只是将通常的前缀添加到名称中，但它使您可以完全控制行为。GrantedAuthorityAttributes2GrantedAuthoritiesMapperROLE_spring-doc.cn

PreAuthenticatedAuthenticationProvider

预先验证的提供程序除了为用户加载对象之外，几乎没有其他工作要做。它通过委托给 . 后者类似于标准，但需要一个对象，而不仅仅是用户名：UserDetailsAuthenticationUserDetailsServiceUserDetailsServiceAuthenticationspring-doc.cn

public interface AuthenticationUserDetailsService {
	UserDetails loadUserDetails(Authentication token) throws UsernameNotFoundException;
}

此接口可能还有其他用途，但是，通过预身份验证，它允许访问打包在对象中的权限，正如我们在上一节中看到的那样。该类执行此操作。或者，它可以通过 implementation 委托给标准。AuthenticationPreAuthenticatedGrantedAuthoritiesUserDetailsServiceUserDetailsServiceUserDetailsByNameServiceWrapperspring-doc.cn

Http403ForbiddenEntryPoint

AuthenticationEntryPoint 负责为未经身份验证的用户启动身份验证过程（当他们尝试访问受保护的资源时）。但是，在预身份验证的情况下，这不适用。如果不将预身份验证与其他身份验证机制结合使用，则只能使用此类的实例进行配置。如果用户被拒绝，则调用，从而导致 null 身份验证。如果调用，它始终返回 -forbidden 响应代码。ExceptionTranslationFilterAbstractPreAuthenticatedProcessingFilter403spring-doc.cn

具体实现

X.509 身份验证在其单独的章节中介绍。在这里，我们看一些为其他预身份验证场景提供支持的类。spring-doc.cn

请求标头身份验证（Siteminder）

外部身份验证系统可以通过在 HTTP 请求上设置特定标头来向应用程序提供信息。一个众所周知的示例是 Siteminder，它在名为 . 该类支持此机制，该类仅从 Headers 中提取用户名。它默认使用 name of 作为标头名称。有关更多详细信息，请参阅 Javadoc。SM_USERRequestHeaderAuthenticationFilterSM_USERspring-doc.cn

当使用这样的系统时，框架根本不执行身份验证检查，正确配置外部系统并保护对应用程序的所有访问非常重要。 如果攻击者能够在其原始请求中伪造标头而不被检测到，则他们可能会选择他们想要的任何用户名。spring-doc.cn

Siteminder 示例配置

以下示例显示了使用此筛选条件的典型配置：spring-doc.cn

<security:http>
<!-- Additional http configuration omitted -->
<security:custom-filter position="PRE_AUTH_FILTER" ref="siteminderFilter" />
</security:http>

<bean id="siteminderFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
<property name="principalRequestHeader" value="SM_USER"/>
<property name="authenticationManager" ref="authenticationManager" />
</bean>

<bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
	<bean id="userDetailsServiceWrapper"
		class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
	<property name="userDetailsService" ref="userDetailsService"/>
	</bean>
</property>
</bean>

<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="preauthAuthProvider" />
</security:authentication-manager>

我们在这里假设 security 命名空间用于配置。此外，还假定您已将（称为 “userDetailsService”）添加到配置中以加载用户的角色。UserDetailsServicespring-doc.cn

Java EE 容器身份验证

该类从 . 此过滤器的使用通常与使用 Java EE 角色结合使用，如前面的 J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource 中所述。J2eePreAuthenticatedProcessingFilteruserPrincipalHttpServletRequestspring-doc.cn

代码库中有一个使用此方法的示例应用程序，因此如果您有兴趣，请从 Github 获取代码并查看应用程序上下文文件。spring-doc.cn

预身份验证框架类

AbstractPreAuthenticatedProcessingFilter

J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource

PreAuthenticatedAuthenticationProvider

Http403ForbiddenEntryPoint

具体实现

请求标头身份验证 （Siteminder）

Siteminder 示例配置

Java EE 容器身份验证

请求标头身份验证（Siteminder）