0

我想知道,为什么我从来没有使用 getDetails 从 Authentication 对象中获取我的 User 对象。我只使用 getPrincipal 获取用户名。

调试我的项目时,我看到了一种我没想到的行为。

我使用 Spring 3.2.4.RELEASE。

security-app-context.xml 包含此配置

<authentication-manager alias="authenticationManager">
    <authentication-provider user-service-ref="userDetailsService">
        <password-encoder ref="passwordEncoder" />
    </authentication-provider>
</authentication-manager>

我的 userDetailsS​​ervice 是这个

@Service
class UserDetailsService implements org.springframework.security.core.userdetails.UserDetailsService, InitializingBean {
    @Override
    public UserDetails loadUserByUsername(final String username) throws UsernameNotFoundException {
        try {
            final User search = new User();
            search.setUsername(username);
            final User user = service.get(search, null);
            if (user != null) {
                UserDetailsModel model = new UserDetailsModel(user.getUsername(), user.getPassword(),
                    getGrantedAuthorities(user.getRoles()));
                model.setDetails(user);
                return model;
            }
        } catch (final Throwable th) {
            log.error("", th);
        }
        throw new UsernameNotFoundException("Bad credentials");
    }

可以看到,详细信息是使用我的服务中的当前用户数据设置的。

从点调试它,当它返回模型时,我们返回

org.springframework.security.authentication.dao.DaoAuthenticationProvider line 101
org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider line 132

在第二个类中,第 190 行有一个方法 createSuccessAuthentication,它最终被执行。

protected Authentication createSuccessAuthentication(Object principal, Authentication authentication,
        UserDetails user) {
    // Ensure we return the original credentials the user supplied,
    // so subsequent attempts are successful even with encoded passwords.
    // Also ensure we return the original getDetails(), so that future
    // authentication events after cache expiry contain the details
    UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(principal,
            authentication.getCredentials(), authoritiesMapper.mapAuthorities(user.getAuthorities()));
    result.setDetails(authentication.getDetails());

    return result;
}

在第 198 行,它将详细信息添加到结果(身份验证),但它不是从提供的 UserDetails 中获取,而是从不包含详细信息的身份验证中获取。

这是配置问题,我的错还是 Spring 中的错误?

4

1 回答 1

1

getPrincipal() 方法返回 UserDetails 的实现,而不是 getDetails() 方法。

于 2013-11-17T17:44:09.927 回答