Custom authentication filter đăng nhập không cần password trong Spring Security

Như mình đã nói trong bài viết về Tổng quan về quy trình xử lý request trong Spring Security, class UsernamePasswordAuthenticationFilter là filter sẽ đảm nhận việc authentication trong Spring Security và mặc định thông tin username và password của user sẽ được sử dụng cho quá trình authentication này. Trong các dự án thực tế thì các bạn có thể gặp những yêu cầu đăng nhập không cần sử dụng password mà sử dụng một thông tin khác như token hay một thông tin gì đó chẳng hạn… Trong các trường hợp này, chúng ta sẽ cần sử dụng một custom authentication filter để thay thế logic mặc định của Spring Security. Cụ thể như thế nào? Trong bài viết này, mình sẽ hướng dẫn các bạn cách hiện thực một custom authentication filter trong Spring Security cho trường hợp login không cần password các bạn nhé!

Đầu tiên, mình sẽ tạo mới một Spring Boot project với Spring Security Starter, Spring Web Starter và Thymeleaf Starter dependencies:

Custom authentication filter đăng nhập không cần password trong Spring Security

Kết quả như sau:

Custom authentication filter đăng nhập không cần password trong Spring Security

Để làm ví dụ cho bài viết này, mình sẽ implement chức năng cho phép user có thể nhập username và một token nào đó, được hard code, nếu đúng username và token gắn liền với username đó thì đăng nhập thành công.


Form đăng nhập

Mình sẽ sử dụng Thymeleaf với Bootstrap để hiện thực form đăng nhập này.

Trước tiên, mình sẽ sử dụng WebJars để khai báo Bootstrap dependency:

Code trang login.html nằm trong thư mục src/main/resources/templates của mình với Bootstrap như sau:

Như các bạn thấy, form login của mình lúc này, gồm 2 field là username và token. Mặc định thì phần action của form login của Spring Security sẽ gọi tới request “/login”. Mình đã chỉnh sửa một xí để nó gọi tới một request khác là “/login-token”.

Mình sẽ tạo mới một class ApplicationController để expose trang login và trang home sau khi user đăng nhập thành công như sau:

Nội dung trang home.html đơn giản như sau:

Cấu hình cho Spring Security của mình lúc này sẽ như sau:

Mình đã cấu hình để Spring Security sử dụng một custom login page thay vì trang login mặc định của nó. Các bạn có thể đọc thêm bài viết này để hiểu thêm nhé.

Cũng cần phải nói thêm là, ở đây, mình không cấu hình cho phần authentication, do đó, chỉ có một user mặc định được cung cấp bởi Spring Security là “user”. Password được hiển thị trong console log, nhưng ở đây chúng ta không sử dụng password để đăng nhập nên các bạn cũng ko cần để ý.


Custom authentication filter

Trong Spring Security thì class UsernamePasswordAuthenticationFilter extends từ class AbstractAuthenticationProcessingFilter:

Custom authentication filter đăng nhập không cần password trong Spring Security

nên custom authentication filter của mình cũng sẽ extend từ class AbstractAuthenticationProcessingFilter và có nội dung ban đầu như sau:

Tương tự như class UsernamePasswordAuthenticationFilter, mình định nghĩa một DEFAULT_ANT_PATH_REQUEST_MATCHER với request URL là “/login-token”, HTTP method là POST để class TokenAuthenticationFilter của mình sẽ handle request login cho tất cả các request matching với thông tin này.

Nhiệm vụ của chúng ta là add code để implement method attemptAuthentication(HttpServletRequest request, HttpServletResponse response).

Đầu tiên, mình sẽ lấy thông tin username và token từ request của user.

với getUsername có nội dung như sau:

Sau đó thì mình sẽ validate những thông tin này sử dụng phương thức validateUsernameAndToken(username, token):

Ở đây, đầu tiên, mình sẽ validate xem username có tồn tại trong hệ thống hay không sử dụng interface UserDetailsService. Đây là class quản lý thông tin user của ứng dụng. Như mình đã nói ở trên, mình sử dụng cấu hình mặc định của Spring Security cho phần authentication nên lúc này chỉ có 1 user duy nhất trong ví dụ là “user”. Nếu user mà người dùng sử dụng không tồn tại trong hệ thống, chúng ta sẽ throw exception.

Để đơn giản cho ví dụ, mình hard code token associate với user “user” là 123 để kiểm tra thông tin đăng nhập của user. Chỉ có username “user” và token “123” thì người dùng mới đăng nhập thành công.

Nếu thông tin token người dùng nhập vào không đúng, một exception khác cũng được throw ra.

Nếu thông tin người dùng nhập vào đúng hết, chúng ta sẽ cho phép authentication thành công:

Ở đây, mình sử dụng lại class UsernamePasswordAuthenticationToken để build đối tượng Authentication, xác nhận thông tin đăng nhập thành công. Chúng ta cũng lưu lại thông tin về sessionId và IP đang đăng nhập của user sử dụng class WebAuthenticationDetailsSource.

Toàn bộ nội dung của class TokenAuthenticationFilter như sau:

Bây giờ, các bạn có thể add filter mới của chúng ta vào Spring Security để thay thế cho filter login mặc định của nó như sau:

Như các bạn thấy, mình sử dụng method addFilterAt() của class HttpSecurity để add custom filter này.

Trong phần khai báo bean của class TokenAuthenticationFilter, mình cũng set authentication manager mặc định của Spring Security. Mặc định thì successHandler sử dụng class SavedRequestAwareAuthenticationSuccessHandler(), còn failureHandler là SimpleUrlAuthenticationFailureHandler nhưng mình cần set lại failureUrl nên mình phải tạo mới lại đối tượng này để gán failureUrl.

OK, đến đây thì chúng ta đã hoàn thành ví dụ của bài viết này. Các bạn có thể chạy ứng dụng để kiểm tra kết quả.

Của mình, nếu nhập username là “user” và token là “123”. Kết quả sẽ như sau:

Custom authentication filter đăng nhập không cần password trong Spring Security

Nếu không đúng thông tin đăng nhập, kết quả sẽ như sau:

Custom authentication filter đăng nhập không cần password trong Spring Security

Add Comment