Autenticación múltiple en Spring boot: JWT y formulario

Escenario

Por exigencias de un tercero debemos adaptar nuestro servicio web para que sea compatible con autenticación por JWT. Hasta ahora las llamadas al API se hacían desde dentro de la aplicación usando las mismas credenciales del usuario autenticado por cookie. La configuración de la cadena de filtros de Spring Security es la siguiente:

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception
    {
        http
                .headers()
                .frameOptions()
                .disable()
                .addHeaderWriter(new StaticHeadersWriter("Content-Security-Policy", "frame-ancestors 'self'"))
                .and()
                .csrf()
                .requireCsrfProtectionMatcher(new AndRequestMatcher(CsrfFilter.DEFAULT_CSRF_MATCHER, new RegexRequestMatcher("^(?!/api/)", null)))
                .and()
                .authorizeRequests()
                .antMatchers("/").fullyAuthenticated()
                .antMatchers("/client/**").hasAnyAuthority("CLIENT", "SUPER_ADMIN", "ADMIN")
                .antMatchers("/admin/**").hasAnyAuthority("SUPER_ADMIN", "ADMIN")
                .antMatchers("/actuator/**").hasAnyAuthority("SUPER_ADMIN", "ADMIN")
                .antMatchers("/api/auth/**").permitAll()
                .antMatchers("/api/**").hasAnyAuthority("ADMIN", "SUPER_ADMIN", "CLIENT", "API_USER")
                .and()
                .formLogin()
                .loginPage("/user/login")
                .successHandler(successHandler())
                .failureUrl("/user/login?error=true")
                .defaultSuccessUrl("/")
                .usernameParameter("username")
                .and()
                .logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/user/logout"))
                .deleteCookies("remember-me")
                .logoutSuccessUrl("/user/login")
                .and()
                .rememberMe()
                .userDetailsService(userDetailsService);

        return http.build();
    }

@Bean

public SecurityFilterChain filterChain(HttpSecurity http) throws Exception

{

http

.headers()

.frameOptions()

.disable()

.addHeaderWriter(new StaticHeadersWriter("Content-Security-Policy", "frame-ancestors 'self'"))

.and()

.csrf()

.requireCsrfProtectionMatcher(new AndRequestMatcher(CsrfFilter.DEFAULT_CSRF_MATCHER, new RegexRequestMatcher("^(?!/api/)", null)))

.and()

.authorizeRequests()

.antMatchers("/").fullyAuthenticated()

.antMatchers("/client/**").hasAnyAuthority("CLIENT", "SUPER_ADMIN", "ADMIN")

.antMatchers("/admin/**").hasAnyAuthority("SUPER_ADMIN", "ADMIN")

.antMatchers("/actuator/**").hasAnyAuthority("SUPER_ADMIN", "ADMIN")

.antMatchers("/api/auth/**").permitAll()

.antMatchers("/api/**").hasAnyAuthority("ADMIN", "SUPER_ADMIN", "CLIENT", "API_USER")

.and()

.formLogin()

.loginPage("/user/login")

.successHandler(successHandler())

.failureUrl("/user/login?error=true")

.defaultSuccessUrl("/")

.usernameParameter("username")

.and()

.logout()

.logoutRequestMatcher(new AntPathRequestMatcher("/user/logout"))

.deleteCookies("remember-me")

.logoutSuccessUrl("/user/login")

.and()

.rememberMe()

.userDetailsService(userDetailsService);

return http.build();

}

En teoría bastaba con crear un nueva clase con otro Bean que configurara la cadena de filtros para JWT:

    @Bean
    public SecurityFilterChain jwtFilterChain(HttpSecurity http) throws Exception
    {
        http.cors().and().csrf().disable()
                .antMatcher("/api/**")
                // This configuration will only be active if the Authorization header is present in the request
                .requestMatcher(new RequestHeaderRequestMatcher("Authorization")).addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class)
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .anyRequest().authenticated();

        http.authenticationProvider(authenticationProvider());

        return http.build();
    }

@Bean

public SecurityFilterChain jwtFilterChain(HttpSecurity http) throws Exception

{

http.cors().and().csrf().disable()

.antMatcher("/api/**")

// This configuration will only be active if the Authorization header is present in the request

.requestMatcher(new RequestHeaderRequestMatcher("Authorization")).addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class)

.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

.authorizeRequests()

.antMatchers("/api/auth/**").permitAll()

.anyRequest().authenticated();

http.authenticationProvider(authenticationProvider());

return http.build();

}

Y encabezar las clases con la anotación @Order. A la primera clase —la que incluye la cadena de filtro para login con usuario y contraseña— le asignamos un orden posterior a la segunda clase, por ejemplo @Order(101) y <code>@Order(100). De este modo antes de aplicar el filtro de JWT se comprueba si la cabecera viene con la clave «Authorization», de ser así se aplica el filtro, de lo contrario se aplica el segundo filtro en el que verifica si el usuario está identificado y consta de alguno de los roles especificados.

Problema

«En mi máquina funciona». Clásica excusa… Hasta que lo desplegué en un servidor remoto. Entonces, de manera sistemática, la petición con el token era redirigida a /user/login. Después de un buen rato dando palos de ciego me decido a activar trazas en el jar desplegado en el servidor, añadiendo la siguiente clave en application.properties: logging.level.org.springframework.security.web.FilterChainProxy=DEBUG. Al hacer la petición se registra la siguiente configuración:

Security filter chain: [
  DisableEncodeUrlFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  CsrfFilter
  LogoutFilter
  UsernamePasswordAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  RememberMeAuthenticationFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

Security filter chain: [

DisableEncodeUrlFilter

WebAsyncManagerIntegrationFilter

SecurityContextPersistenceFilter

HeaderWriterFilter

CsrfFilter

LogoutFilter

UsernamePasswordAuthenticationFilter

RequestCacheAwareFilter

SecurityContextHolderAwareRequestFilter

RememberMeAuthenticationFilter

AnonymousAuthenticationFilter

SessionManagementFilter

ExceptionTranslationFilter

FilterSecurityInterceptor

]

En cambio, en mi aplicación local, arrancada por Netbeans:

Security filter chain: [
  DisableEncodeUrlFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  CorsFilter
  LogoutFilter
  AuthTokenFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

Security filter chain: [

DisableEncodeUrlFilter

WebAsyncManagerIntegrationFilter

SecurityContextPersistenceFilter

HeaderWriterFilter

CorsFilter

LogoutFilter

AuthTokenFilter

RequestCacheAwareFilter

SecurityContextHolderAwareRequestFilter

AnonymousAuthenticationFilter

SessionManagementFilter

ExceptionTranslationFilter

FilterSecurityInterceptor

]

Claramente se están aplicando filtros distintos. Parece que en mi máquina se respeta el orden anotado en las clases de configuración, no así en el servidor.

Solución

Gracias a una issue en GitHub, caigo en la cuenta de que, a pesar de lo que haya podido leer en StackOverflow o en algún otro blog, el orden no ha de ser especificado a nivel de la clase, sino del Bean.

    @Bean
    @Order(Ordered.HIGHEST_PRECEDENCE)
    public SecurityFilterChain jwtFilterChain(HttpSecurity http) throws Exception

@Bean

@Order(Ordered.HIGHEST_PRECEDENCE)

public SecurityFilterChain jwtFilterChain(HttpSecurity http) throws Exception

    @Bean
    @Order(Ordered.LOWEST_PRECEDENCE)
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception
    {

@Bean

@Order(Ordered.LOWEST_PRECEDENCE)

public SecurityFilterChain filterChain(HttpSecurity http) throws Exception

{

Autenticación múltiple en Spring boot: JWT y formulario

Escenario

Problema

Solución

Extracción de las fotos de los mensajes de Hangouts

Cómo modificar las cabeceras de una petición con nginx

Valor por defecto en un combo de una plantilla de Thymeleaf

TemplateInputException

Cómo arreglar tema oscuro en Firefox

Sobrepasando el límite

Deja una respuesta Cancelar la respuesta

Escenario

Problema

Solución

Publicaciones Similares

Deja una respuesta Cancelar la respuesta