Как в spring реализовать авторизацию по bearer токенам БЕЗ JWT?

Question

[galliard]

Задача довольно простая, но я перерыл все интернеты и не нахожу решения. Весь интернет забит раздичными реализациями через JWT, ноторый мне не нужен. Я же хочу сделать обычные токены, просто набор рандомных символов, хранящихся в БД и привязанных к юзеру. Код получился примерно такой:

package com.exchange.security

import com.exchange.service.UserService
import org.springframework.context.annotation.Bean
import org.springframework.context.annotation.Configuration
import org.springframework.http.HttpMethod
import org.springframework.security.authentication.AuthenticationProvider
import org.springframework.security.authentication.dao.DaoAuthenticationProvider
import org.springframework.security.config.Customizer
import org.springframework.security.config.annotation.web.builders.HttpSecurity
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity
import org.springframework.security.config.http.SessionCreationPolicy
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder
import org.springframework.security.crypto.password.PasswordEncoder
import org.springframework.security.web.SecurityFilterChain


@Configuration
@EnableWebSecurity
class SecurityConfig (
    private val userDetailsService: UserService,
) {
    @Bean
    fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http
            .csrf { csrf -> csrf.disable() }
            .authenticationProvider(authenticationProvider())
            .authorizeHttpRequests { auth ->
                auth
                    .requestMatchers(HttpMethod.POST, "/api/auth").permitAll()
                    .requestMatchers("/api/**").authenticated()
                    .anyRequest().authenticated()
            }
            .sessionManagement { sess -> sess.sessionCreationPolicy(SessionCreationPolicy.STATELESS) }
            .httpBasic(Customizer.withDefaults())

        return http.build()
    }

    @Bean
    fun authenticationProvider() : AuthenticationProvider {
        val authProvider = DaoAuthenticationProvider()

        authProvider.setUserDetailsService(userDetailsService)
        authProvider.setPasswordEncoder(encoder())

        return authProvider
    }

    @Bean
    fun encoder(): PasswordEncoder {
        return BCryptPasswordEncoder()
    }
}

Все, что смог найти в интернетах - это использование AuthenticationProvider, однако есть пара проблем:
1. Он не работает
2. Не понятно, как вообще он может работать, AuthenticationProvider принимает в себя только сервис хеширования паролей и сервис поиска юзера по логину, но как получить логин пользователя по bearer токену он не знает, как и о каких-то bearer токенах вообще. И я не нашел, где и как это конфигурируется.

В общем, как мне осуществить задуманный мной способ аутентификации?

Comments

[My1Name]

Все, что смог найти в интернетах - это использование AuthenticationProvider

А что за код сопровождает вопрос? Это вы в интернетах нашли?

[galliard]

Да, это компиляция разных кодов из интернетов.

Answer 1

[My1Name]

В контексте Authentication, нужно смотреть в сторону ручной авторизации (автоматическая авторизация после регистрации). Там всё достаточно просто и понятно. Ну а если хочется изобрести что-то новенькое, то нужно читать документацию: https://docs.spring.io/spring-security/site/docs/4...

Comments

[galliard]

Ну думаю, что мой способ авторизации принципиально новый и никто никогда такого раньше не делал. Должны быть готовые решения.

[My1Name]

galliard, Не знаю таких. Если должны быть, то поищите. Я вообще не понимаю, что вы хотите сделать?

хочу сделать обычные токены, просто набор рандомных символов, хранящихся в БД и привязанных к юзеру

- сделайте юзера с полем для рандомных значений. Генерируйте их и записывайте в БД. При каждом обращении проверяйте у юзера это поле.

[galliard]

My1Name, логика такая: при любом апи-запросе в заголовках передается токен (не jwt, просто рандомный набор символов), приложение его читает из заголовка и ищет его в таблице БД (id | token | user_id), находит нужную запись, из которой достает юзера и как-то сообщает security-компоненту, что этот пользователь аутентифицирован.

Я много раз делал такую схему на других языках/фреймворках, а вот как это сделать конкретно в спринге я так и не понял.

[My1Name]

galliard,

логика такая: при любом апи-запросе в заголовках передается токен (не jwt, просто рандомный набор символов), приложение его читает из заголовка и ищет его в таблице БД

В таком случае используйте методы сервлета и читайте только headers. Если это api, клиент должен знать правила (set headers) которые согласованы с сервером. То есть, он должен где-то хранить токен сессии и передавать его в заголовках. Обычно эту инфу пишут в куки или используют JSON. И это вам нужно продумать заранее (без jwt?).

Тот код, что вы тут написали, в таком случае вообще не в тему. Он как бы нужен, но у вас вся логика в контроллере... Вам в любом случае нужно проводить "ручную" аутентификацию.

Вот это

.requestMatchers(HttpMethod.POST, "/api/auth").permitAll()
.requestMatchers("/api/**").authenticated()
.anyRequest().authenticated()

нужно после авторизации. И оно неправильно написано... "/api/**" закроет "/api/auth" для всех.