Каков наилучший способ создания AuthenticationFilter с функциями REST?

Question

Ниже приведено то, что у меня есть до сих пор, но оно не делает то, что я хочу. Я хочу, чтобы 415, если тип содержимого не json, а 400 jackson не могут десериализоваться или если проверка неверна. В настоящее время, конечно, это все 401, и я делаю что-то неправильно с десериализацией (передавал неправильный тип json). Я думаю, что может быть какой-то способ использовать то, что Spring MVC будет делать под капотом для обычного контроллера.

@Component 
public class JsonAuthenticationFilter extends AbstractAuthenticationProcessingFilter { 

    private final ObjectMapper objectMapper; 
    private final Validator validator; 

    protected JsonAuthenticationFilter(final ObjectMapper objectMapper, final Validator validator) { 
     super(new AntPathRequestMatcher("/authentication/password", "POST")); 
     this.objectMapper = objectMapper; 
     this.validator = validator; 
    } 

    @Override 
    public Authentication attemptAuthentication(final HttpServletRequest request, final HttpServletResponse response) 
     throws AuthenticationException, IOException, ServletException { 

     if (request.getContentType() == null 
      || !MediaType.APPLICATION_JSON.isCompatibleWith(MediaType.parseMediaType(request.getContentType()))) { 
      response.setStatus(HttpServletResponse.SC_UNSUPPORTED_MEDIA_TYPE); 
      throw new AuthenticationServiceException(
       "Media Type not supported: " + request.getContentType()); 
     } 

     PasswordCredentials credentials = objectMapper.readValue(request.getReader(), PasswordCredentials.class); 
     DataBinder dataBinder = new DataBinder(credentials); 
     dataBinder.setValidator(validator); 
     dataBinder.validate(); 

     AbstractAuthenticationToken authRequest = credentials.toAuthenticationToken(); 

     setDetails(request, authRequest); 

     return this.getAuthenticationManager().authenticate(authRequest); 
    } 

    /** 
    * Provided so that subclasses may configure what is put into the authentication 
    * request's details property. 
    * 
    * @param request  that an authentication request is being created for 
    * @param authRequest the authentication request object that should have its details 
    *     set 
    */ 
    protected void setDetails(HttpServletRequest request, AbstractAuthenticationToken authRequest) { 
     authRequest.setDetails(authenticationDetailsSource.buildDetails(request)); 
    } 

    @Override 
    @Autowired 
    public void setAuthenticationManager(final AuthenticationManager authenticationManager) { 
     super.setAuthenticationManager(authenticationManager); 
    } 
} 

Answer 1

Я полагаю, вы используете аутентификацию JWT или, по крайней мере, какую-то аутентификацию на токенах, не так ли? Вам лучше использовать @RestController, который делегирует аутентификацию authenticationManager, чем работу с семантикой фильтра более низкого уровня.

Вот контроллер, который я использовал ранее, немного модифицированный, чтобы соответствовать вашему DTO. Вы заметите, что это выглядит как the suggested JHipster example:

@RestController 
@RequestMapping(value = "/api") 
public class LoginController { 

    private final Logger logger = LoggerFactory.getLogger(getClass()); 

    private final AuthenticationManager authenticationManager; 
    private final TokenAuthenticationService tokenAuthenticationService; 

    public LoginController(
     final AuthenticationManager authenticationManager, 
     final TokenAuthenticationService tokenAuthenticationService) { 
     this.authenticationManager = authenticationManager; 
     this.tokenAuthenticationService = tokenAuthenticationService; 
    } 

    @RequestMapping(
     value = "/login", 
     method = RequestMethod.POST, 
     consumes = MediaType.APPLICATION_JSON_VALUE) // will cause 415 errors 
    public ResponseEntity<String> authenticate(
     @Valid @RequestBody PasswordCredentials request) { // validated implicitly 
     try { 
      final User principal = doAuthenticate(request); 
      return ResponseEntity.ok(tokenFor(principal)); 
     } catch (Exception e) { 
      logger.error("Error authenticating user", e); 
      return new ResponseEntity<>(HttpStatus.FORBIDDEN); 
     } 
    } 

    private String tokenFor(final User principal) { 
     return tokenAuthenticationService.createTokenForUser(principal); 
    } 

    private User doAuthenticate(PasswordCredentials request) { 
     final Authentication authentication = request.toAuthenticationToken(); 
     final Authentication authenticated = authenticationManager.authenticate(authentication); 
     return (User) authenticated.getPrincipal(); 
    } 
} 

Чтобы увидеть, как контроллеры Spring решительность, анализа и проверки параметров тела запроса JSON, вы должны смотреть на RequestResponseBodyMethodProcessor, в частности, его метод resolveArgument и реализовать что-то подобное в фильтре , Однако, поскольку ваш фильтр не является контроллером, вы должны адаптировать код в соответствии с вашими потребностями, удалив все ссылки на параметр MethodParameter.