我正在尝试设置一个简单的 spring mvc / spring security webapp,但我似乎找不到实现此目的的方法:
我如何着手实施最后一个阶段?
我不确定我是否完全理解您的问题,但如果我理解正确,您可以扩展 AbstractPreAuthenticatedProcessingFilter 并通过调用您的 restful 服务/控制器等覆盖 getPreAuthenticatedPrincipal 和 getPreAuthenticatedCredentials。覆盖 AuthenticationUserDetailsService 并提供一个简单的服务,并添加您的安全上下文,如下所示:
<beans:bean id="preauthAuthProvider"
class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<beans:property name="preAuthenticatedUserDetailsService">
<beans:bean class="com.YourCompany.YourPreAuthenticatedGrantedAuthoritiesUserDetailsService"></beans:bean>
</beans:property>
<beans:property name="order" value="1"/>
</beans:bean>
<authentication-manager alias="authenticationManager" >
<authentication-provider ref="preauthAuthProvider" ></authentication-provider>
</authentication-manager>
好的答案基本上是:
SecurityContextHolder.getContext().setAuthentication(...)
然而,为了能够在我上面描述的 Spring MVC 控制器控制身份验证过程的场景中使用它,还需要做一些其他的事情:
如果没有在这种情况下未使用的身份验证管理器,Spring 安全性将无法启动,因此我创建了一个空身份验证管理器:
@Service("nullAuthenticationProvider")
public class NullAuthenticationProvider implements AuthenticationProvider
{
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException
{
return authentication;
}
@Override
public boolean supports(Class<?> authentication)
{
return true;
}
}
最后是spring context.xml:
<security:global-method-security secured-annotations="enabled" />
<security:http disable-url-rewriting="true">
<security:access-denied-handler error-page="/login" />
<security:form-login login-page="/login" />
</security:http>
<security:authentication-manager>
<security:authentication-provider ref='nullAuthenticationProvider'/>
</security:authentication-manager>