1

我是 Spring Security 的新手,我一直在阅读 API 和 Javadocs,我相信我需要关于我的问题的帮助。

到目前为止,根据反复试验,我观察到抛出异常会提示身份验证方法自动重定向到登录失败处理程序。从那里,很容易重定向和自定义失败的身份验证流程。但是,在成功登录时,除了 HttpServletRequest、HttpServletResponse、Authentication 对象之外,我似乎无法将任何内容传递给登录成功处理程序。

我的登录成功有两种情况:

  1. 登录成功。

  2. 新用户登录应重定向到更改密码页面。

这里有一些问题:

  1. 在这种情况下可以调用 request.setParameter("status", "FOR_CHANGE_PASSWORD") 吗?安全吗?

  2. 我应该添加“CHANGE_PASSWORD”权限吗?这是好习惯吗?

我的问题是我不想在我的 LoginAuthenticator 中调用 userService 方法,然后在我的登录成功处理程序上再次调用它只是为了检索用户的状态。有什么解决办法吗?

public class LoginAuthenticator implements AuthenticationProvider{
private static final Logger log = LoggerFactory.getLogger(LoginAuthenticator.class);
private static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();
@Autowired
UserService userService;

@Override
public Authentication authenticate(Authentication authentication)
        throws AuthenticationException {
    log.info("Authenticating...");   

    log.debug("Username: {}" , authentication.getPrincipal());
    log.debug("Password: {}" , (String) authentication.getCredentials()); 


    WSResponse response = userService.authenticateLogin(username, password);


    //User log-in failure
    if(response.getResponseCode != 200){  

          if(response.getResponseStatus.equals("BAD CREDENTIALS")){
             throw new BadCredentialsException("Bad Credentials");  
          }
          else{
             throw new AccountStatusException("Account is locked")
          } 
    } 
    else{
        log.info("User credentials are valid... logging in");
        AUTHORITIES.add(new SimpleGrantedAuthority("USER"));
        return new UsernamePasswordAuthenticationToken(authentication.getPrincipal(),          (String) authentication.getCredentials(), AUTHORITIES);

    } 


}

任何更多的建议都会很棒。

4

1 回答 1

1

一种典型的方法是将有关登录用户的所有必要信息存储在其Authentication.

例如,标准AuthenticationProvider(如在成功验证后构造对象时存储一个DaoAuthenticationProvider实现),应用程序开发人员可以提供自己的包含必要信息的子类。您可以以相同的方式实现它。UserDetailsprincipalAuthenticationUserDetails

于 2012-09-11T09:17:28.927 回答