春のセキュリティ - 認証を作成するためのユーザー名とパスワードが必要ですか

Question

私は春のセキュリティを使用してユーザーを認証しています。ユーザーは第三者によって認証され、アプリケーションに到達すると既に認証されます。 これを実装するには、Authenticationオブジェクトをシミュレートしました。

私はユーザー名とパスワードを持っておらず、代わりに識別子を持っています。この識別子が有効かどうか、私のカスタムコードを使用していないかどうかを確認します。次のように

私のクエリは次のとおりです。

1. は私が認証オブジェクトを作成するためのユーザー名とパスワードが必要でください。 私はユーザー名とパスワードを提供せずに済んでおり、私のアプリケーションは正常に動作します。

2. 私は春のセキュリティを正しく使用していることを確認したいだけです。

3. 認証オブジェクトにユーザー名とパスワードを入れないと、影響はありません。 AbstractUserDetailsAuthenticationProvider：

   //ユーザーが入力した元の資格情報を返すようにしてください。 //エンコードされたパスワードでもそれ以降の試行は成功します。

私はカスタムプロバイダも実装しています。

1. 上記のコメントは何を意味しますか？
2. 私のアプローチは正しいですか？

Answer 1

スプリングセキュリティのAuthenticationインターフェイスは、設定されたセキュリティルールと現在のコールコンテキストに対して検証を実行するためのトークンを表します。このインタフェースは、getPrincipal,getCredentials,getDetails,getAuthorities,isAuthenticatedおよびsetAuthenticatedの6つの方法を有する。

自分でユーザーを認証しているので、あなたはisAuthenticated開始は、認証されたユーザを示すためにtrueを返すようにフローの適切な段階でsetAuthenticated(true)を呼び出すと、ほとんど心配する必要があります。さらに、AuthenticationにGrantedAuthorityを追加して、ロールベースのチェックが正しく機能するようにすることもできます。

しかし、getPrincipal（フォームログインの場合のユーザー名）がユーザーまたはセッションごとに一意の値を返すことを確認すると便利です。これにより、フレームワークが一意にユーザーを識別するために使用する一意でないプリンシパルのために、ユーザーセッションが交換される可能性がなくなります。

getCredentialsとgetDetailsは実装されていない可能性があります。実際には、アプリケーションには実際にユーザーを認証するための資格情報がないため、getCredentials（フォームログインの場合はパスワード）を実装しないでください。また、ユーザーが正常に認証された後に資格情報を保持することはセキュリティ上のリスクです。