在这篇快速文章中,我们将重点介绍如何在Spring Security和Spring MVC中以编程方式设置经过身份验证的用户。
简单地说,Spring Security 将每个经过身份验证的用户的主要信息保存在一个ThreadLocal 中——表示为一个身份验证对象。
为了构造和设置此身份验证对象 – 我们需要使用与 Spring Security 通常用于在标准身份验证上构建对象的相同方法。
为此,让我们手动触发身份验证,然后将生成的身份验证对象设置为框架用于保存当前登录用户的当前SecurityContext:
- UsernamePasswordAuthenticationToken authReq
- = new UsernamePasswordAuthenticationToken(user, pass);
- Authentication auth = authManager.authenticate(authReq);
- SecurityContext sc = SecurityContextHolder.getContext();
- sc.setAuthentication(auth);
在上下文中设置身份验证后,我们现在可以使用securityContext.getAuthentication().isAuthenticated()检查当前用户是否已通过身份验证。
默认情况下,Spring Security 在 Spring Security 过滤器链中添加了一个额外的过滤器——它能够持久化安全上下文(SecurityContextPersistenceFilter类)。
反过来,它将安全上下文的持久性委托给 SecurityContextRepository 的实例,默认为HttpSessionSecurityContextRepository 类。
因此,为了在请求上设置身份验证,从而使其可用于来自客户端的所有后续请求,我们需要在HTTP会话中手动设置包含身份验证的安全上下文:
- public void login(HttpServletRequest req, String user, String pass) {
- UsernamePasswordAuthenticationToken authReq
- = new UsernamePasswordAuthenticationToken(user, pass);
- Authentication auth = authManager.authenticate(authReq);
-
- SecurityContext sc = SecurityContextHolder.getContext();
- sc.setAuthentication(auth);
- HttpSession session = req.getSession(true);
- session.setAttribute(SPRING_SECURITY_CONTEXT_KEY, sc);
- }
SPRING_SECURITY_CONTEXT_KEY是静态导入的HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY。
应该注意的是,我们不能直接使用HttpSessionSecurityContextRepository,因为它与SecurityContextPersistenceFilter 结合使用。
这是因为过滤器使用存储库来加载和存储链中其余定义的过滤器之前和之后的安全上下文,但它在传递给链的响应上使用自定义包装器。
因此,在这种情况下,您应该知道所用包装器的类类型,并将其传递给存储库中的相应 save 方法。
在这个快速教程中,我们介绍了如何在 Spring 安全性上下文中手动设置用户身份验证以及如何将其用于 Spring MVC 目的,重点介绍说明实现它的最简单方法的代码示例。
与往常一样,可以在GitHub 上找到代码示例。