0

我有一个调用 Servlet 的 java:

public class UserServlet extends HttpServlet {

    @Autowired
    private UserService userService;

    @Override
    protected void service(final HttpServletRequest request, final HttpServletResponse response) throws ServletException, IOException {
        userService.checkUser();
        userService.doSomethingRestricted();
    }

    @Override
    public void init(final ServletConfig config) throws ServletException {
            SpringBeanAutowiringSupport.processInjectionBasedOnCurrentContext(this);
            SpringBeanAutowiringSupport.processInjectionBasedOnServletContext(this, config.getServletContext());
            super.init(config);
    }

}

还有我的自动接线服务:

@Component(value = "userService")
public class UserService {

    public boolean checkUser() {
        if (SecurityContextHolder.getContext().getAuthentication() != null) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
                if (auth != null && auth.getPrincipal() != null && auth.getPrincipal() instanceof User) {
                    User springUser = (User) auth.getPrincipal();
                    if (springUser != null) {
                        LOG.debug("USER CONNECTED :: {}", springUser.getUsername());
                    }
                }
        } else {
            LOG.debug("NO CONNECTED USER, CREATING ONE");
            Collection<GrantedAuthority> authorities = getGrantedAuthorities();
            org.springframework.security.core.userdetails.User springUser = new org.springframework.security.core.userdetails.User("user","password", true, true, true, true, authorities);
            Authentication auth = new UsernamePasswordAuthenticationToken(springUser, "", authorities);
            SecurityContext sc = new SecurityContextImpl();
            sc.setAuthentication(auth);
            SecurityContextHolder.setContext(sc);
        }
        return true;
    }   


    @Secured({ "CONNECTED" })
    public void doSomethingRestricted() {
        LOG.debug("SOMETHING RESTRICTED HAS BEEN DONE!!");
    }

}

  • 当我第一次测试我的应用程序时,Java 客户端向POST服务器发送一个,服务器会检查用户并且找不到上下文:将创建一个新的上下文。

  • 当我随后运行 java 客户端时,我找到了一个现有的上下文(在第一次调用中创建的那个)。

显然缺少一些东西,因为如果第一个用户成功登录,并不意味着任何用户都可以连接。

我错过了什么?起初我考虑为每个 Java 客户端的实例使用会话(我没有 Web 浏览器客户端,所以我需要手动设置会话 ID),但是 Spring 什么时候应该在 http 请求中获取或设置会话 ID?

TL;DRSecurityContextHolder.getContext().getAuthentication() 在我的例子中做了什么?

4

2 回答 2

2

它为您获取当前登录用户的身份验证详细信息,您添加了吗?

<bean id="httpSessionFilter" class="org.springframework.security.web.context.SecurityContextPersistenceFilter"/>

为了引入 web 应用程序的登录,spring security 也被设计为与 POJO 一起使用,如果您使用旧方式,则需要在映射中添加此过滤器。如果您在 applicationContext 中使用 http 标签,那么它应该可以正常工作。

</security:filter-chain-map>

自从我在 applicatin Context 中使用没有新的 http 标签的情况下使用 spring security 已经很长时间了。spring 安全上下文带有不同的过滤器,SecurityContextPersistenceFilter 决定了上下文是如何被持久化的。

“org.springframework.security.web.context.SecurityContextPersistenceFilter”用于在每个会话中持久化安全上下文。

Spring 安全性源自其与 acegi 安全性的集成,后者曾经为同一任务使用“net.sf.acegisecurity.ui.webapp.HttpSessionIntegrationFilter”过滤器

于 2013-03-01T01:59:15.043 回答
1

It is a filter , so spring can identify session based on sessionid.

于 2013-03-01T13:06:17.753 回答