1。概述
在这篇疾速文章中,咱们将重点介绍如何在 Spring Security 和 Spring MVC 中手动验证用户的身份。
2。Spring Security
简略地说,Spring Security 将每个通过身份验证的用户的主体信息保留在 ThreadLocal 中——示意为 Authentication 对象。
为了结构和设置这个 Authentication 对象——咱们须要应用 Spring Security 通常用来在规范身份验证上构建对象的雷同办法。
为此,让咱们手动触发身份验证,而后将生成的 Authentication 对象设置为框架用来保留以后登录用户的以后 SecurityContext:
UsernamePasswordAuthenticationToken authReq = new UsernamePasswordAuthenticationToken(user, pass);
Authentication auth = authManager.authenticate(authReq);
SecurityContext sc = SecurityContextHolder.getContext();
sc.setAuthentication(auth);
在上下文中设置 Authentication 后,咱们当初能够应用 securityContext.getAuthentication().isAuthenticated() 查看以后用户是否已通过身份验证。
3。Spring MVC
默认状况下,Spring Security 在 Spring Security 过滤器链中增加了一个额定的过滤器——它可能长久化平安上下文(SecurityContextPersistenceFilter 类)。
反过来,它将平安上下文的持久性委托给 SecurityContextRepository 的实例,默认为 HttpSessionSecurityContextRepository 类。
因而,为了对申请设置身份验证并因而 使其可用于来自客户端的所有后续申请,咱们须要在 HTTP 会话中手动设置蕴含 Authentication 的 SecurityContext:
public void login(HttpServletRequest req, String user, String pass) {UsernamePasswordAuthenticationToken authReq = new UsernamePasswordAuthenticationToken(user, pass);
Authentication auth = authManager.authenticate(authReq);
SecurityContext sc = SecurityContextHolder.getContext();
sc.setAuthentication(auth);
HttpSession session = req.getSession(true);
session.setAttribute(SPRING_SECURITY_CONTEXT_KEY, sc);
}
SPRING_SECURITY_CONTEXT_KEY 是动态导入的 HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY。
须要留神的是,咱们不能间接应用 HttpSessionSecurityContextRepository — 因为它与 SecurityContextPersistenceFilter. 一起工作
这是因为过滤器应用存储库在链中定义的其余过滤器执行之前和之后加载和存储平安上下文,但它对传递给链的响应应用自定义包装器。
所以在这种状况下,您应该晓得所应用的包装器的类类型,并将其传递给存储库中适当的保留办法。
4。论断
在这个疾速教程中,咱们探讨了如何在 Spring Security 上下文中手动设置用户 Authentication 以及如何使其可用于 Spring MVC 目标,重点介绍了阐明实现它的最简略办法的代码示例。
与平常一样,能够在 GitHub 上 找到代码示例。