28. Pre-Authentication Scenarios

在某些情况下，您想使用 Spring Security 进行授权，但是在访问应用程序之前，某些外部系统已经对用户进行了可靠的身份验证。我们将这些情况称为“预身份验证”方案。示例包括 X.509，Siteminder 以及通过运行应用程序的 Java EE 容器进行的身份验证。使用预认证时，Spring Security 必须

• 标识发出请求的用户。

• 获取用户的权限。

详细信息将取决于外部身份验证机制。在 X.509 中，可以通过其证书信息来标识用户；在 Siteminder 中，可以通过 HTTP 请求 Headers 来标识用户。如果依赖于容器身份验证，将通过对传入的 HTTP 请求调用getUserPrincipal()方法来标识用户。在某些情况下，外部机制可能会为用户提供角色/权限信息，但在其他情况下，必须从单独的来源(例如UserDetailsService)获得权限。

28.1 预身份验证框架类

因为大多数预认证机制遵循相同的模式，所以 Spring Security 具有一组类，这些类提供了用于实现预认证的认证提供程序的内部框架。这消除了重复，并允许以结构化的方式添加新的实现，而不必从头开始编写所有内容。如果您想使用X.509 authentication之类的内容，则无需了解这些类，因为它已经具有一个名称空间配置选项，该选项更易于使用和入门。如果您需要使用显式的 Bean 配置或计划编写自己的实现，那么对所提供的实现如何工作的理解将非常有用。您将在org.springframework.security.web.authentication.preauth下找到类。我们仅在此处提供概述，因此您应该在适当的地方查阅 Javadoc 和源代码。

28.1.1 AbstractPreAuthenticatedProcessingFilter

此类将检查安全性上下文的当前内容，如果为空，它将尝试从 HTTP 请求中提取用户信息并将其提交给AuthenticationManager。子类重写以下方法来获取此信息：

protected abstract Object getPreAuthenticatedPrincipal(HttpServletRequest request);

protected abstract Object getPreAuthenticatedCredentials(HttpServletRequest request);

调用完这些之后，过滤器将创建一个包含返回数据的PreAuthenticatedAuthenticationToken并将其提交以进行身份验证。这里的“身份验证”实际上只是意味着进一步处理以加载用户的权限，但是遵循标准的 Spring Security 身份验证体系结构。

像其他 Spring Security 身份验证过滤器一样，预身份验证过滤器具有authenticationDetailsSource属性，默认情况下会创建WebAuthenticationDetails对象，以在Authentication对象的details属性中存储其他信息，例如会话标识符和始发 IP 地址。如果可以从预身份验证机制获取用户角色信息，则数据也存储在此属性中，详细信息实现GrantedAuthoritiesContainer接口。这使身份验证提供程序可以读取从外部分配给用户的权限。接下来，我们将看一个具体示例。

J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource

如果过滤器配置有authenticationDetailsSource作为此类的实例，则通过为“Map 角色”的每个 sched 集合调用isUserInRole(String role)方法来获取权限信息。该类从已配置的MappableAttributesRetriever中获取它们。可能的实现包括在应用程序上下文中对列表进行硬编码，以及从web.xml文件中的<security-role>信息中读取角色信息。预认证示例应用程序使用后一种方法。

在另一个阶段，使用已配置的Attributes2GrantedAuthoritiesMapper将角色(或属性)Map 到 Spring Security GrantedAuthority对象。默认值只是在名称中添加通常的ROLE_前缀，但它使您可以完全控制行为。

28.1.2 PreAuthenticatedAuthenticationProvider

经过预身份验证的提供程序除了为用户加载UserDetails对象外，无所要做。它通过委派AuthenticationUserDetailsService来实现。后者与标准UserDetailsService类似，但采用Authentication对象，而不仅仅是用户名：

public interface AuthenticationUserDetailsService {
	UserDetails loadUserDetails(Authentication token) throws UsernameNotFoundException;
}

该接口可能还有其他用途，但具有预身份验证功能，它允许访问打包在Authentication对象中的授权机构，如上一节所述。 PreAuthenticatedGrantedAuthoritiesUserDetailsService类可以执行此操作。或者，它可以通过UserDetailsByNameServiceWrapper实现委派给标准UserDetailsService。

28.1.3 Http403ForbiddenEntryPoint

technical overview章节讨论了AuthenticationEntryPoint。通常，它负责启动未经身份验证的用户的身份验证过程(当他们尝试访问受保护的资源时)，但是在经过预先身份验证的情况下，这并不适用。如果您未将预身份验证与其他身份验证机制结合使用，则只能使用此类的实例配置ExceptionTranslationFilter。如果用户被AbstractPreAuthenticatedProcessingFilter拒绝而导致身份验证为空，则将调用此方法。如果被调用，它将始终返回403禁止响应代码。

28.2 具体实施

X.509 身份验证包含在其own chapter中。在这里，我们将看一些为其他预身份验证的场景提供支持的类。

28.2.1 请求 Headers 身份验证(Siteminder)

外部身份验证系统可以通过在 HTTP 请求上设置特定的 Headers 来向应用程序提供信息。一个著名的例子是 Siteminder，它在名为SM_USER的 Headers 中传递用户名。 RequestHeaderAuthenticationFilter类支持此机制，该类仅从 Headers 中提取用户名。默认情况下，使用名称SM_USER作为标题名称。有关更多详细信息，请参见 Javadoc。

Siteminder 示例配置

使用此过滤器的典型配置如下所示：

<security:http>
<!-- Additional http configuration omitted -->
<security:custom-filter position="PRE_AUTH_FILTER" ref="siteminderFilter" />
</security:http>

<bean id="siteminderFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
<property name="principalRequestHeader" value="SM_USER"/>
<property name="authenticationManager" ref="authenticationManager" />
</bean>

<bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
	<bean id="userDetailsServiceWrapper"
		class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
	<property name="userDetailsService" ref="userDetailsService"/>
	</bean>
</property>
</bean>

<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="preauthAuthProvider" />
</security:authentication-manager>

我们在这里假设security namespace用于配置。还假定您已在配置中添加了UserDetailsService(称为“ userDetailsService”)以加载用户的角色。

28.2.2 Java EE 容器身份验证

J2eePreAuthenticatedProcessingFilter类将从HttpServletRequest的userPrincipal属性中提取用户名。通常将此过滤器与名为“ J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource”的部分中所述的 Java EE 角色结合使用。

代码库中有一个使用此方法的示例应用程序，因此，如果有兴趣，可以从 github 上获取代码，并查看应用程序上下文文件。该代码位于samples/xml/preauth目录中。