Go to Qiita Advent Calendar 2024 Top
LoginSignup
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@daiki7010

Spring Security その4.1〜カスタム認証について

Last updated at Posted at 2023-04-06

「Spring Security のカスタム認証」を作成していて、色々とハマってしまったので
SpringSecurityの認証について学んだことを備忘録として残します。
カスタム認証を使用した実装方法については別途記事を作成予定

自分がハマって調べたことだけなので、色々抜けている機能があることはご了承ください。
誤っている箇所や誤解を与えかねない表現があればご指摘いただけると助かります。

アーキテクチャ

image.png

  1. ブラウザからリクエストが送信されると「FilterChainProxy」がリクエストを受け取る
  2. FIlterChainProxyはFilterChainを呼び出す
  3. FilterChainには複数のFilterが登録されており、順番にFilterを実行し認証を行う。

フォーム認証

Filterには色々な種類がある(らしい)が、フォームにて入力された内容によって認証を行う「UsernamePasswordAuthenticationFilter」で説明

image.png

  1. UsernamePasswordAuthenticationFilterはリクエストから認証に必要な情報を取得する(デフォルトならuserNameとpassword)
  2. Authenticationに格納し、DaoAuthenticationProviderを起動する
  3. DaoAuthenticationProviderはUserDetailsServiceを使用し、ユーザ情報を取得し、認証を行う
  4. 認証がOKの場合、UsernamePasswordAuthenticationTokenを返却する
  5. 認証OKの場合(UsernamePasswordAuthenticationTokenが返却されている場合)successfulAuthenticationを実行する
  6. セキュリティコンテキスト(認証情報等)を保存

AnonymousAuthenticationFilter

フィルターチェーンの最後(厳密には最後じゃないかも?)にAnonymousAuthenticationFilterが起動される。
認証されていないユーザーに対して匿名認証を提供する。
つまり、こいつが最終的に認証がOKだったかの確認を行い、認証されていなければNG扱いにするということ
AnonymousAuthenticationFilterは「ThreadLocalSecurityContextHolderStrategy」から認証情報を取得し、認証情報が存在すればOKと判断している。

ハマったポイント

AnonymousAuthenticationFilterはスレッドローカルから認証情報を取得しているので、異なるスレッドの場合は情報は引き継がれない(認証OKとはならない)

実際に認証NGとなってしまった時のログを見るとUsernamePasswordAuthenticationFilterが認証OKとしているスレッドとAnonymousAuthenticationFilterがNG(匿名認証をセット)としているスレッドが違った
※[nio-8080-exec-4]
赤字部分がスレッド

コンソールログ
DEBUG [nio-8080-exec-4]com.example.auth.SampleFilter  Set SecurityContextHolder to UsernamePasswordAuthenticationToken
省略
DEBUG [nio-8080-exec-6]o.s.s.w.a.AnonymousAuthenticationFilter Set SecurityContextHolder to anonymous SecurityContext



デフォルトでは、UsernamePasswordAuthenticationFilter(厳密にいうとAbstractAuthenticationProcessingFilter)は「RequestAttributeSecurityContextRepository」を使用しており、これはスレッド間の共有ができない。
AbstractAuthenticationProcessingFilter
private SecurityContextRepository securityContextRepository = new RequestAttributeSecurityContextRepository();

そのため、セッションに保存して異なるスレッド間でも共有できるようにする必要がある。
セッションに保存するためには「HttpSessionSecurityContextRepository」を使用する

「デフォルトでは」と記載しているが、SpringSecurityがデフォルトで登録しているUsernamePasswordAuthenticationFilterは「HttpSessionSecurityContextRepository」が別途設定されている。
ややっこしい・・・

4
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?