Spring Security Custom Filter (сменить пароль)

Question

Я использую Spring Security для защиты HTTP-запросов на веб-сайте. Основное использование - это защита страниц, при которых пользователь перенаправляется на страницу входа при попытке доступа к этим страницам.

Однако у меня есть еще одно требование. В моей модели я могу указать пароль пользователя как временный, так что при успешном входе в систему они должны автоматически принудительно менять свой пароль. После изменения пароля они должны быть отправлены на страницу, с которой они первоначально пытались получить доступ.

Использовал ли для этой цели Spring Security? Нужно ли создавать собственный фильтр?

Спасибо,

Эндрю

Answer 1

В Spring Security 3.0 вы можете реализовать пользовательские AuthenticationSuccessHandler.

В этом обработчике вы можете перенаправить пользователя с временным паролем на страницу смены пароля вместо первоначально запрошенной страницы. После изменения пароля вы можете перенаправить пользователя на первоначально запрошенную страницу, используя SavedRequestAwareAuthenticationSuccessHandler, который является реализацией обработчика по умолчанию.

public class MyHandler implements AuthenticationSuccessHandler { 
    private AuthenticationSuccessHandler target = new SavedRequestAwareAuthenticationSuccessHandler(); 

    public void onAuthenticationSuccess(HttpServletRequest request, 
     HttpServletResponse response, Authentication auth) { 
     if (hasTemporaryPassword(auth)) { 
      response.sendRedirect("/changePassword"); 
     } else { 
      target.onAuthenticationSuccess(request, response, auth); 
     } 
    } 

    public void proceed(HttpServletRequest request, 
     HttpServletResponse response, Authentication auth) { 
     target.onAuthenticationSuccess(request, response, auth); 
    } 
} 

@Controller("/changePassword") 
public class ChangePasswordController { 

    @Autowired 
    private MyHandler handler; 

    @RequestMapping(method = POST) 
    public void changePassword(HttpServletRequest request, 
     HttpServletResponse response, 
     @RequestParam(name = "newPassword") String newPassword) { 

     // handle password change 
     ... 

     // proceed to the secured page 
     handler.proceed(request, response, auth);   
    } 

    // form display method, etc 
    ... 
} 

Answer 2

Да, я сделал это с фильтром ForceChangePasswordFilter. Потому что, если пользователь вводит URL вручную, он может обходить форму пароля изменения. С фильтром запрос всегда перехватывается.

Answer 3

Немного поздно на это, но, надеюсь, это может помочь другим найти эту ссылку. Если вы используете пользовательский UserDetailsService, вы можете, например, установить учетные данные объекта пользователяNonExpired на false, чтобы не разрешать доступ к любому защищенному контенту, пока это поле не будет установлено на true.

В принципе, если у вас есть срок действия пароля, вы установите поле в своей модели пользователя (возможно, passwordExpired), и когда пользователь UserDetailsService вытащит пользователя, ваш UserDetailsService будет использовать это значение для установки учетных данныхNonExpired.

Затем все, что вам нужно сделать, это добавить конфигурацию вашего приложенияContext-security.xml для настройки сопоставлений исключений аутентификации. Это позволит вам поймать исключение, занесенное с использованием устаревших учетных данных, и заставить пользователя перейти на страницу сброса пароля. Вы можете дополнительно заблокировать заблокированные и отключенные учетные записи, используя аналогичный метод. Пример конфигурации приведен ниже:

ApplicationContext-security.xml

<beans:bean id="exceptionTranslationFilter" class="org.springframework.security.web.authentication.ExceptionMappingAuthenticationFailureHandler"> 
    <beans:property name="exceptionMappings"> 
     <beans:props>   
      <beans:prop key="org.springframework.security.authentication.BadCredentialsException">/login_error</beans:prop> 
      <beans:prop key="org.springframework.security.authentication.CredentialsExpiredException">/password_expired</beans:prop> 
      <beans:prop key="org.springframework.security.authentication.LockedException">/locked</beans:prop> 
      <beans:prop key="org.springframework.secuirty.authentication.DisabledException">/disabled</beans:prop> 
     </beans:props> 
     </beans:property> 
</beans:bean> 

<http use-expressions="true"> 
    <!-- ADD BLACKLIST/WHITELIST URL MAPPING --> 
    <form-login login-page="/login" default-target-url="/" authentication-failure-handler-ref="exceptionTranslationFilter" /> 
</http> 

Тогда просто убедитесь, что у вас есть настройки контроллеров служить эти ссылки с соответствующим содержанием.

Answer 4

Очень полезная форма ответа jyore, это было именно то, что я искал. Если вы используете пользовательский класс, реализующий UserDetailsService, вы можете сделать это как следующее вместе с указанным выше определением компонента в вашем applicationContext.xml. Одна вещь, которая основана на вашем заголовке ХМЛ может понадобиться использовать <bean .... или <prop ... вместо <beans:bean ... или <beans:prop ...

import ...... 

@Service("userService") 
public class UserDetailsServiceImpl implements UserDetailsService { 

private static Logger logger = LoggerFactory 
     .getLogger(UserDetailsServiceImpl.class); 

@Autowired 
private UserDao userDao; 

@Override 
public UserDetails loadUserByUsername(String username) 
    throws UsernameNotFoundException, DataAccessException , CredentialsExpiredException ,BadCredentialsException , 
    LockedException , DisabledException , UsernameNotFoundException 
{ 
    User user = userDao.getUserByUsername(username); 
    System.out.println("User Found"); 

    if(user == null){ 
     // System.out.println("User Not Found"); 
     logger.error("User Not Found"); 
     throw new UsernameNotFoundException(username + " is not found."); 
    } 

    if(user.isEnabled() == false){ 
    // System.out.println("User not enabled"); 
    logger.error("User not enabled"); 
     throw new DisabledException("User not enabled"); 
    } 

    if(user.isLocked() == true){ 
     //System.out.println("User is Locked"); 
     logger.error("User is Locked"); 
      throw new LockedException("User is Locked"); 
     } 
    if(user.isPasswordExpired() == true){ 
     // System.out.println("Password Expired"); 
     logger.error("Password Expired"); 
     throw new CredentialsExpiredException("Password Expired"); 
    } 

    return user; 
    } 
}