Spring Boot 認証

###前提・実現したいこと
SpringBootでbasic認証をベースに
独自の認証に変更したいです。

###発生している問題
httpBasic()を使用せずに、
BasicAuthenticationFilterを継承し、
doFilterInternal()をオーバーライドしたものを取り込めば良いと思っていましたが、
ステータス401ではなく403が返ってきます。

###該当のソースコード

Java
1@Configuration
2@EnableWebSecurity
3public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
4	@Override
5	protected void configure(HttpSecurity http) throws Exception {
6		http
7			.authorizeRequests()
8			.antMatchers("/").permitAll()
9			.anyRequest().authenticated();
10
11		http
12			.httpBasic().disable();
13		
14		AuthenticationManager authenticationManager = this.authenticationManager();
15		BasicAuthenticationEntryPoint entryPoint = new BasicAuthenticationEntryPoint();
16		BasicAuthenticationFilter filter = new BasicAuthenticationFilter(authenticationManager, entryPoint);
17
18		http.addFilterAfter(filter, BasicAuthenticationFilter.class);
19	}
20
21	@Override
22	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
23		auth
24		.inMemoryAuthentication()
25			.withUser("user").password("user").roles("USER").and()
26			.withUser("admin").password("admin").roles("ADMIN");
27	}
28
29}

###試したこと
httpBasic()の後にdisable()呼ばない場合は401が返ってくることは確認しました。
HttpBasicConfigurerにあたるものを用意していないからでしょうか？

アドバイス等を頂ければ幸いです。
よろしくお願いします。

###[追記]
実現したい内容について、
補足いたします。

BasicAuthenticationFilterクラス内の
doFilterInternal()メソッドでの
SecurityContextHolder.getContext().setAuthentication(authResult);
によってRoleを付与しているのだと思いますが、
今回は、認証時にRoleの情報は変更せず、Sessionに付与するように変更をしたい。

HttpBasicConfigurerクラスに手を加えることも考えましたが
configure()メソッドで、BasicAuthenticationFilterを
newしているため、変更はできそうにありませんでしたし、
HttpBasicConfigurerクラスは継承不可なので、
オーバーライドもできないため、無理だと判断しました。

行動規範の内容に同意します

回答1件

気になるところがいくつか。

BASIC認証をOFFにされてからBASIC認証フィルタを追加していますが、これでは認証機構が有効になりません。
コードを拝見したところ、自前でエントリポイントの登録をされていますが、SpringSecurityでBASIC認証をカスタマイズするのであればもっと簡単な方法があります。

java
1import org.springframework.context.annotation.Bean;
2import org.springframework.context.annotation.Configuration;
3import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
4import org.springframework.security.config.annotation.web.builders.HttpSecurity;
5import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
6import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
7import org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint;
8
9@Configuration
10@EnableWebSecurity
11public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
12
13  @Override
14  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
15
16    auth.inMemoryAuthentication().withUser("user").password("user").roles("USER").and()
17        .withUser("admin").password("admin").roles("ADMIN");
18
19  }
20
21  @Override
22  protected void configure(HttpSecurity http) throws Exception {
23    http
24    .authorizeRequests()
25      .antMatchers("/")
26        .permitAll()
27      .anyRequest()
28        .authenticated()
29    .and()
30      .httpBasic()
31        .authenticationEntryPoint(authenticationEntryPoint());
32  }
33
34  @Bean
35  protected BasicAuthenticationEntryPoint authenticationEntryPoint() {
36    BasicAuthenticationEntryPoint authenticationEntryPoint = new BasicAuthenticationEntryPoint();
37    authenticationEntryPoint.setRealmName("Custom Realm");
38    return authenticationEntryPoint;
39  }
40
41}