Пытаюсь переехать на java, делаю нубский пет-проект. И что-то застопорился на, казалось бы, простом вопросе. Есть soap приложение на apache cxf, авторизацию делаю через заголовки в xml. Хочу прикрутить к этому делу спринговую секьюрити дабы юзать аннотации @RolesAllowed на методах. Но каменный цветок не выходит совершенно.
Настройки эндпоинта:
1.
2.
3.
4.
5.
6.
7.
8.
9.
endpoint.getInInterceptors().add(new SAAJInInterceptor());
Map<String, Object> props = new HashMap<>();
props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
endpoint.getInInterceptors().add(new WSS4JInInterceptor(props));
endpoint.getProperties().put("ws-security.validate.token", false);
endpoint.getProperties().put("ws-security.ut.no-callbacks", true);
endpoint.getProperties().put("ws-security.ut.validator", CredentialValidator.class.getName());
Была попытка сделать это через колбэк, но там пароль не достать, да и не решает это проблемы.
Валидатор:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
@Service
public class CredentialValidator extends UsernameTokenValidator {
@Override
public Credential validate(Credential credential, RequestData data) throws WSSecurityException {
String userName = credential.getUsernametoken().getName();
String password = credential.getUsernametoken().getPassword();
List<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority(Role.USER_ROLE));
PreAuthenticatedAuthenticationToken token = new PreAuthenticatedAuthenticationToken(userName, password, authorities);
SecurityContextHolder.getContext().setAuthentication(token);
}
}
Тут есть всё, чтобы руками разруливать права и т.д., но хочется заюзать всё-таки спринг и удобные аннотации из коробки.
Конфигурация спринг секьюрити:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers(HttpMethod.POST, "/services/**").permitAll()
;
}
}
Добавление или удаление inMemoryAuthentication ничего не меняет, так что пропустил.
Аннотации вида @RolesAllowed(Role.USER_ROLE) юзаю на методах класса обозначенного как @WebService.
Если вместо permitAll поставить authenticated, то до валидатора даже не доходит, доступ рубит раньше. Я понимаю, что либо настроил что-то не так, либо надо действовать совершенно по другому. Но как-то не додумаюсь куда гуглить, может кто-нибудь хотя бы направление даст. А то гуглится всякая древняя фигня, которая уже не работает.
Собственно вопрос - а как мне руками сделать аутентификацию в спринге через соап сообщение, чтобы работали аннотации?
