Коллеги,
Есть следующая задача:
Юзер имеет свой логин и пароль. А так же может иметь третий авторизационный параметр (компания), а может и не иметь.
Нужно сделать так, чтобы юзер вводил логин\пасс и в случаи если юзер принадлежит к двум или более компаниям выводить ему страницу выбора компании.
Если же юзер не принадлежит ни одной компании или только к одной не выводить страницу с выбором третьего параметра (компании) и применять какую то умолчательную компанию.
Мой вопрос заключается в том как такое реализовывается с помощью Spring Security. У меня мыслей кроме two factor authentication нету и я не уверен, что это православный путь реализации такой задачи.
Был бы благодарен за ссылки чего бы почитать как это пилят в лучших домах Лондона и Парижа :)

Alexey TominПодозреваю, что у пользователя права на действия зависят от "компании".
Если так, то можно сделать так (я делал для jboss/javaee) - выдаются права на одно действие- выбор параметра. После этого заново заполняются допустимые здесь действия, а так же "компанию"- чтобы подставлять его во все запросы как фильтр.
Вы правильно подозреваете :)
В зависимости от компании юзеру показываются разные данные в представлениях. А так же доступны доп. кнопки в представлении.

Petro123Минимальные права?
Верно.

вадяпосле стандартного ввода логини/пароля и отправки на сервер, с сервера идет ответ и по которому полявляется поле для ввода третьего параметра(если для данного юзера это наобходимо) или переход на следующую страницу
Ну так оно по идеи и должно быть. Но только если юзер принадлежит к двум или более компаниям он эту страницу для ввода третьего парамтра обойти не может. т.е. попытка попасть на защищенные спрингом страницы должна быть не успешна.
Т.е. после первого шага авторизации юзер делжен принадлежать к какой то временной группе. А после страницы выбора компании уже получать роли которые замапленные к компании.

вадявозможны три варианта
1 логин/пароль не верны
2 переход на следующую страницу , если для данного юзере не требуется доп параметр
3 появление поля для выбора параметра
есть сложности с такой реализацией?
Да, есть.
Если юзер ввел правильный логин и пароль. Он считается авторизованным пользователем. И следовательно может попадать в защищенные спрингом страницы. А он не должен :) Если принадлежит к 2 или более компаниям. его должно всегда редиректить на страницу выбора компании.

вадяа какие проблемы для организации такой логики?
после отправки логина/пароля происходит проверка. он не принадлежит ни к какой группе, если для дальнеёшего входа надо ввести ещё один параметр, просто на клиента по ajax отпрвляется команда на ввод параметра
Приведу пример текущего конфига спинга


Он нам кагбэ говорит о том что если юзер отправил на контроллер j_spring_security_check параметры j_username и j_password и customUserDetailsService сверил логин и пасс то юзер считается авторизованным. И может попадать в закрытый спингом контекст /selfcare/**
Так вот юзер после ввода логина и пароля не должен еще считаться авторизованным (isAuthenticated) если он принадлежит к двум или более компаниям

Парни,
Вы тут везде предлагаете реализовать роли на сколько я вас понял.
Т.е. ввел юзер логин и пасс. Ему фигак роль: аля PRE_AUTH_ROLE. Выбрал компанию ему фигак роль FULL_ACCESS_ROLE.
Но дело в том что после уже ввода логина и пароля юзер будет считаться авторизованным. Т.е. метод isAuthenticated() в JSP будет возвращать true. А мне не хотелось бы переделывать кучи JSP'ишек где стоит такая проверка.

В общем добавил новый кастомный фильтр в спринг секурити. Примерно как кидал ссылку Petro123.
Всем спасибо :)