У меня есть rest api, где я аутентифицируюсь с использованием Spring Security Basic Authorization, где клиент отправляет имя пользователя и пароль для каждого запроса. Теперь я хотел реализовать проверку подлинности на токенах, где я пошлю токен в заголовке ответа, когда пользователь будет аутентифицирован вначале. Для дальнейших запросов клиент может включить этот токен в заголовок, который будет использоваться для аутентификации пользователя для ресурсов. У меня есть два провайдера аутентификации tokenAuthenticationProvider и daoAuthenticationProvider
@Component
public class TokenAuthenticationProvider implements AuthenticationProvider {
@Autowired
private TokenAuthentcationService service;
@Override
public Authentication authenticate(final Authentication authentication) throws AuthenticationException {
final RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
final HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();
final String token = request.getHeader(Constants.AUTH_HEADER_NAME);
final Token tokenObj = this.service.getToken(token);
final AuthenticationToken authToken = new AuthenticationToken(tokenObj);
return authToken;
}
@Override
public boolean supports(final Class<?> authentication) {
return AuthenticationToken.class.isAssignableFrom(authentication);
}
}
И в daoAuthenticationProvider я устанавливаю пользовательскую функцию UserDetailsService и аутентифицирующую информацию о пользователях пользователя, извлекая ее из базы данных (которая работает нормально до тех пор, пока имя пользователя и пароль передаются с использованием авторизации: Basic bGllQXBpVXNlcjogN21wXidMQjRdTURtR04pag == как заголовок)
Но когда я включаю токен в заголовок, используя X-AUTH-TOKEN (который является Constants.AUTH_HEADER_NAME), tokenAuthenticationProvider не вызывается. Я получаю ошибку, поскольку
{"timestamp":1487626368308,"status":401,"error":"Unauthorized","message":"Full authentication is required to access this resource","path":"/find"}
И вот как я добавляю поставщиков аутентификации.
@Override
public void configure(final AuthenticationManagerBuilder auth) throws Exception {
final UsernamePasswordAuthenticationProvider daoProvider = new
UsernamePasswordAuthenticationProvider(this.service, this.passwordEncoder());
auth.authenticationProvider(this.tokenAuthenticationProvider);
auth.authenticationProvider(daoProvider);
}
Пожалуйста, предложите, как я могу реализовать аутентификацию на основе токена, не нарушая текущего поведения весенней безопасности.