6

我有一个使用 Spring 3.1 的 java webapp。我的 Spring 安全上下文定义了多个身份验证过滤器,每个过滤器对应一个不同的身份验证路径(例如,用户名/密码与单点登录)。每个身份验证过滤器都定义了自己的AuthenticationSuccessHandler. 现在,我想注入 2 个额外的操作以在成功的身份验证时采取,它们应该适用于所有身份验证类型:

  1. 为 Google Analytics 设置跟踪事件代码以在前端使用
  2. 在我们的数据库中更新用户的首选语言环境

在用户成功通过身份验证后,这些可能是您想要挂钩的任何操作。重要的一点是,与常规的 AuthenticationSuccessHandlers(每个身份验证路径不同)不同,它们不会转发或重定向请求。所以打电话给他们是安全的。

使用 Spring Web/Security 3.1 是否有一种干净的方法来集成这些额外的身份验证成功“操作”?

我研究了实现一个ApplicationListener<AuthenticationSuccessEvent>,但我的事件需要访问请求,并且所有AuthenticationSuccessEvent提供的是Authentication对象本身。

我找不到办法,所以我决定推出自己的代理:

public class AuthenticationSuccessHandlerProxy implements AuthenticationSuccessHandler {
    private List<AuthenticationSuccessHandler> authenticationSuccessHandlers;

    public AuthenticationSuccessHandlerProxy(List<AuthenticationSuccessHandler> successHandlers) {
        this.authenticationSuccessHandlers = successHandlers;
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request,
                                        HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        for (AuthenticationSuccessHandler successHandler : this.authenticationSuccessHandlers) {
            successHandler.onAuthenticationSuccess(request, response, authentication);
        }
    }
}
4

1 回答 1

0

在简要查看了源代码AbstractAuthenticationProcessingFilter和所有其他被调用的地方之后,AuthenticationSuccessHandler.onAuthenticationSuccess(...)我看不到任何使用 Spring Security 的可能性。

作为一种解决方法,您可以尝试将成功处理程序包装到某个 AspectJ 或 AOP 切入点中,然后将此切入点应用到AuthenticationSuccessHandler.onAuthenticationSuccess(...)执行中。也许像这样您可以针对所有身份验证类型。

于 2013-08-09T11:06:19.813 回答