1.概述
在這篇快速文章中,我們將重點介紹如何以編程方式在Spring Security和Spring MVC中設置經過身份驗證的用戶。
2. Spring Security
簡而言之,Spring Security在ThreadLocal中保存每個經過身份驗證的用戶的主要信息 - 保存的是Authentication對象。
為了構造和設置此Authentication對象,通常我們需要使用Spring Security在標准身份驗證上構建對象的相同方法。
要讓我們手動觸發身份驗證,然后將生成的身份驗證對象設置為框架用來保存當前登錄用戶的當前SecurityContext:
UsernamePasswordAuthenticationToken authReq
= new UsernamePasswordAuthenticationToken(user, pass);
Authentication auth = authManager.authenticate(authReq);
SecurityContext sc = SecurityContextHolder.getContext();
securityContext.setAuthentication(auth);
在上下文中設置身份驗證后,我們現在可以使用securityContext.getAuthentication()。isAuthenticated()檢查當前用戶是否經過身份驗證。
3. Spring MVC
默認情況下,Spring Security在Spring Security過濾器鏈中添加了一個額外的過濾器。它能夠持久化Security 上下文(SecurityContextPersistenceFilter類)。
反過來,它將Security上下文的持久性委托給SecurityContextRepository的實例,默認為HttpSessionSecurityContextRepository類。
因此,為了在請求上設置身份驗證並因此使其可用於來自客戶端的所有后續請求,我們需要在HTTP會話中手動設置包含身份驗證的SecurityContext:
public void login(HttpServletRequest req, String user, String pass) {
UsernamePasswordAuthenticationToken authReq
= new UsernamePasswordAuthenticationToken(user, pass);
Authentication auth = authManager.authenticate(authReq);
SecurityContext sc = SecurityContextHolder.getContext();
sc.setAuthentication(auth);
HttpSession session = req.getSession(true);
session.setAttribute(SPRING_SECURITY_CONTEXT_KEY, sc);
}
SPRING_SECURITY_CONTEXT_KEY是靜態導入的HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY。
應該注意的是,我們不能直接使用HttpSessionSecurityContextRepository - 因為它與SecurityContextPersistenceFilter一起使用。
這是因為過濾器使用存儲庫來加載和存儲Security上下文在前,在鏈中執行其余已定義的過濾器在后,但是它在傳遞給鏈的響應上使用自定義包裝器。。
因此,在這種情況下,您應該知道所使用的包裝器的類類型,並將其傳遞給存儲庫中的相應save方法。
4.總結
在這個快速教程中,我們討論了如何在Spring Security上下文中手動設置用戶身份驗證以及如何使其可用於Spring MVC的目標。專注於代碼示例,說明實現它的最簡單方法。
與往常一樣,可以在GitHub上找到代碼示例。