Custom authentication filter đăng nhập không cần password trong Spring Security

Bài viết được sự cho phép của tác giả Nguyễn Hữu Khanh

Như mình đã nói trong bài viết về Tổng quan về quy trình xử lý request trong Spring Security, class UsernamePasswordAuthenticationFilter là filter sẽ đảm nhận việc authentication trong Spring Security và mặc định thông tin username và password của user sẽ được sử dụng cho quá trình authentication này. Trong các dự án thực tế thì các bạn có thể gặp những yêu cầu đăng nhập không cần sử dụng password mà sử dụng một thông tin khác như token hay một thông tin gì đó chẳng hạn… Trong các trường hợp này, chúng ta sẽ cần sử dụng một custom authentication filter để thay thế logic mặc định của Spring Security. Cụ thể như thế nào? Trong bài viết này, mình sẽ hướng dẫn các bạn cách hiện thực một custom authentication filter trong Spring Security cho trường hợp login không cần password các bạn nhé!

  Bảo mật ứng dụng Java web bởi Spring Security
  Cách sử dụng properties trong tập tin cấu hình của Spring

Xem thêm Việc làm Java lương cao hấp dẫn trên TopDev

Đầu tiên, mình sẽ tạo mới một Spring Boot project với Spring Security Starter, Spring Web Starter và Thymeleaf Starter dependencies:

Custom authentication filter đăng nhập không cần password trong Spring Security

Kết quả như sau:

Custom authentication filter đăng nhập không cần password trong Spring Security

Để làm ví dụ cho bài viết này, mình sẽ implement chức năng cho phép user có thể nhập username và một token nào đó, được hard code, nếu đúng username và token gắn liền với username đó thì đăng nhập thành công.

Form đăng nhập

Mình sẽ sử dụng Thymeleaf với Bootstrap để hiện thực form đăng nhập này.

Trước tiên, mình sẽ sử dụng WebJars để khai báo Bootstrap dependency:

<dependency>
<groupId>org.webjars</groupId>
<artifactId>webjars-locator-core</artifactId>
</dependency>
<dependency>
<groupId>org.webjars</groupId>
<artifactId>bootstrap</artifactId>
<version>5.0.2</version>
</dependency>

Code trang login.html nằm trong thư mục src/main/resources/templates của mình với Bootstrap như sau:

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
<meta name="description" content="">
<meta name="author" content="">
<title>Spring Security Example</title>
<link href="/webjars/bootstrap/dist/css/bootstrap.min.css" rel="stylesheet">
</head>
<body>
<div class="container">
<h2 class="form-signin-heading">Welcome to Huong Dan Java, please login</h2>
<div th:if="${param.error}" class="alert alert-danger"> 
Invalid username and token.
</div>
<div th:if="${param.logout}" class="alert alert-success"> 
You have been logged out.
</div>
<form class="form-signin" method="POST" th:action="@{/login}">
<p>
<label for="username" class="sr-only">Username</label> 
<input type="text" id="username" name="username" class="form-control"
placeholder="Username" required autofocus>
</p>
<p>
<label for="Token" class="sr-only">Token</label> 
<input type="text" id="token" name="token" class="form-control"
placeholder="Token" required>
</p>
<button class="btn btn-lg btn-primary btn-block" type="submit">Login</button>
</form>
</div>
</body>
</html>

Như các bạn thấy, form login của mình lúc này, gồm 2 field là username và token. Mặc định thì phần action của form login của Spring Security sẽ gọi tới request “/login”. Mình đã chỉnh sửa một xí để nó gọi tới một request khác là “/login-token”.

Mình sẽ tạo mới một class ApplicationController để expose trang login và trang home sau khi user đăng nhập thành công như sau:

package com.huongdanjava.springsecurity;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class ApplicationController {

@GetMapping("/login")
public String viewLoginPage() {
return "login";
}

@GetMapping("/")
public String hello() {
return "home";
}
}

Nội dung trang home.html đơn giản như sau:

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
<meta name="description" content="">
<meta name="author" content="">
<title>Spring Security Example</title>
<link href="/webjars/bootstrap/dist/css/bootstrap.min.css" rel="stylesheet">
</head>
<body>
<div class="container">
<h2 class="form-signin-heading">Hello</h2>
</div>
</body>
</html>

Cấu hình cho Spring Security của mình lúc này sẽ như sau:

package com.huongdanjava.springsecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SpringSecurityConfiguration extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll();
}

@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/webjars/**");
}
}

Mình đã cấu hình để Spring Security sử dụng một custom login page thay vì trang login mặc định của nó. Các bạn có thể đọc thêm bài viết này để hiểu thêm nhé.

Cũng cần phải nói thêm là, ở đây, mình không cấu hình cho phần authentication, do đó, chỉ có một user mặc định được cung cấp bởi Spring Security là “user”. Password được hiển thị trong console log, nhưng ở đây chúng ta không sử dụng password để đăng nhập nên các bạn cũng ko cần để ý.

Custom authentication filter

Trong Spring Security thì class UsernamePasswordAuthenticationFilter extends từ class AbstractAuthenticationProcessingFilter:

Custom authentication filter đăng nhập không cần password trong Spring Security

nên custom authentication filter của mình cũng sẽ extend từ class AbstractAuthenticationProcessingFilter và có nội dung ban đầu như sau:

package com.huongdanjava.springsecurity;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

public class TokenAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher(
"/login-token", "POST");

public TokenAuthenticationFilter() {
super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
}

public TokenAuthenticationFilter(AuthenticationManager authenticationManager) {
super(DEFAULT_ANT_PATH_REQUEST_MATCHER, authenticationManager);
}

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException, IOException, ServletException {
// TODO Auto-generated method stub
return null;
}

}

Tương tự như class UsernamePasswordAuthenticationFilter, mình định nghĩa một DEFAULT_ANT_PATH_REQUEST_MATCHER với request URL là “/login-token”, HTTP method là POST để class TokenAuthenticationFilter của mình sẽ handle request login cho tất cả các request matching với thông tin này.

Nhiệm vụ của chúng ta là add code để implement method attemptAuthentication(HttpServletRequest request, HttpServletResponse response).

Đầu tiên, mình sẽ lấy thông tin username và token từ request của user.

String username = getUsername(request);
String token = request.getParameter("token");

với getUsername có nội dung như sau:

private String getUsername(HttpServletRequest httpRequest) {
String username = httpRequest.getParameter("username");
if (username == null) {
return "";
}

return username;
}

Sau đó thì mình sẽ validate những thông tin này sử dụng phương thức validateUsernameAndToken(usernametoken):

private boolean validateUsernameAndToken(String username, String token) {
try {
userDetailsService.loadUserByUsername(username);
} catch (UsernameNotFoundException e) {
this.logger.debug("Failed to find user '" + username + "'");
throw new BadCredentialsException(this.messages
.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
}

Map<String, String> map = new HashMap<>();
map.put("123", "user");

if (map.containsKey(token)) {
String user = map.get(token);
if (user.equals(username)) {
return true;
}
}

this.logger.debug("No user '" + username + "' associate with the token " + token);
throw new BadCredentialsException(this.messages
.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
}

Ở đây, đầu tiên, mình sẽ validate xem username có tồn tại trong hệ thống hay không sử dụng interface UserDetailsService. Đây là class quản lý thông tin user của ứng dụng. Như mình đã nói ở trên, mình sử dụng cấu hình mặc định của Spring Security cho phần authentication nên lúc này chỉ có 1 user duy nhất trong ví dụ là “user”. Nếu user mà người dùng sử dụng không tồn tại trong hệ thống, chúng ta sẽ throw exception.

Để đơn giản cho ví dụ, mình hard code token associate với user “user” là 123 để kiểm tra thông tin đăng nhập của user. Chỉ có username “user” và token “123” thì người dùng mới đăng nhập thành công.

Nếu thông tin token người dùng nhập vào không đúng, một exception khác cũng được throw ra.

Nếu thông tin người dùng nhập vào đúng hết, chúng ta sẽ cho phép authentication thành công:

UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

var authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

Ở đây, mình sử dụng lại class UsernamePasswordAuthenticationToken để build đối tượng Authentication, xác nhận thông tin đăng nhập thành công. Chúng ta cũng lưu lại thông tin về sessionId và IP đang đăng nhập của user sử dụng class WebAuthenticationDetailsSource.

Toàn bộ nội dung của class TokenAuthenticationFilter như sau:

package com.huongdanjava.springsecurity;

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

public class TokenAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher(
"/login-token", "POST");

@Autowired
private UserDetailsService userDetailsService;

public TokenAuthenticationFilter() {
super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
}

public TokenAuthenticationFilter(AuthenticationManager authenticationManager) {
super(DEFAULT_ANT_PATH_REQUEST_MATCHER, authenticationManager);
}

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException, IOException, ServletException {
this.logger.info("Authenticating ...");

String username = getUsername(request);
String token = request.getParameter("token");

validateUsernameAndToken(username, token);

UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

var authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

return authentication;
}

private String getUsername(HttpServletRequest httpRequest) {
String username = httpRequest.getParameter("username");
if (username == null) {
return "";
}

return username;
}

private boolean validateUsernameAndToken(String username, String token) {
try {
userDetailsService.loadUserByUsername(username);
} catch (UsernameNotFoundException e) {
this.logger.debug("Failed to find user '" + username + "'");
throw new BadCredentialsException(this.messages
.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
}

Map<String, String> map = new HashMap<>();
map.put("123", "user");

if (map.containsKey(token)) {
String user = map.get(token);
if (user.equals(username)) {
return true;
}
}

this.logger.debug("No user '" + username + "' associate with the token " + token);
throw new BadCredentialsException(this.messages
.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
}

}

Bây giờ, các bạn có thể add filter mới của chúng ta vào Spring Security để thay thế cho filter login mặc định của nó như sau:

package com.huongdanjava.springsecurity;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@EnableWebSecurity
public class SpringSecurityConfiguration extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.addFilterAt(tokenAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}

@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/webjars/**");
}

@Bean
public TokenAuthenticationFilter tokenAuthenticationFilter() throws Exception {
TokenAuthenticationFilter authenticationFilter = new TokenAuthenticationFilter();
authenticationFilter.setAuthenticationManager(authenticationManagerBean());
authenticationFilter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler("/login?error"));

return authenticationFilter;
}
}

Như các bạn thấy, mình sử dụng method addFilterAt() của class HttpSecurity để add custom filter này.

Trong phần khai báo bean của class TokenAuthenticationFilter, mình cũng set authentication manager mặc định của Spring Security. Mặc định thì successHandler sử dụng class SavedRequestAwareAuthenticationSuccessHandler(), còn failureHandler là SimpleUrlAuthenticationFailureHandler nhưng mình cần set lại failureUrl nên mình phải tạo mới lại đối tượng này để gán failureUrl.

OK, đến đây thì chúng ta đã hoàn thành ví dụ của bài viết này. Các bạn có thể chạy ứng dụng để kiểm tra kết quả.

Của mình, nếu nhập username là “user” và token là “123”. Kết quả sẽ như sau:

Custom authentication filter đăng nhập không cần password trong Spring Security

Nếu không đúng thông tin đăng nhập, kết quả sẽ như sau:

Custom authentication filter đăng nhập không cần password trong Spring Security