java - Spring - 从控制器调用 custom-authentication-provider

Question

我在 Spring Security 配置中定义了一个自定义身份验证提供程序。这个类实现了AuthenticationProvider，我可以使用我页面上定义的表单成功登录。问题是我不仅想在登录页面上调用这个类，还想在注册页面上调用这个类。

注册页面使用不同的命令类并收集比登录表单更多的信息。现在，当用户注册时，我调用相应的控制器，将记录添加到数据库中，然后他们可以登录，但他们不会自动登录。由于他们刚刚在注册页面上给了我他们的用户名/密码，我可以将其传递给自定义 AuthenticationProvider 类以便他们也登录吗？

我尝试在注册控制器中创建一个 org.springframework.security.Authentication 类并在我的客户 AuthenticationProvider 类上调用 authenticate 方法，这不会出错，但用户没有登录。我必须调用 Spring Security 过滤器链中更高的方法来完成此操作？我应该将控制器重定向到 j_spring_security_check URL吗？如果是这样，我将如何传递用户名/密码？

Answer 1

您遇到的问题是，尽管您已成功验证用户身份，但您尚未将此身份验证的结果存储在用户的SecurityContext. 在 Web 应用程序中，这是一个ThreadLocal对象，SecurityContextPersistenceFilter将用于将用户的凭据存储在HTTPSession

如果可以，您还应该避免直接使用您的自定义身份验证提供程序进行身份验证。您的 xml 配置应包含AuthenticationManager您的自定义身份验证提供程序已连接到的一个。例如，

<bean id="customAuthenticationProvider" 
  class="com.foo.CustomAuthenticationProvider">
  <property name="accountService" ref="accountService"/>
</bean>
<security:authentication-manager alias="authenticationManager">
  <security:authentication-provider ref="customAuthenticationProvider"/>
</security:authentication-manager>

如果您将其连接authenticationManager到您的注册服务并使用它进行身份验证，它将另外，

• 允许您在以后换入/换出其他身份验证提供程序
• 将认证结果发布到 Spring Security 框架的其他部分（例如成功/失败异常处理代码）

我们的注册服务如下

final UsernamePasswordAuthenticationToken authRequest = new 
  UsernamePasswordAuthenticationToken(username, password);

final Authentication authentication = 
  authenticationManager.authenticate(authRequest);
SecurityContextHolder.getContext().setAuthentication(authentication);

我们还可以选择将此时的身份验证结果存储在使用onLoginSuccess().TokenBasedRememberMeServices

Answer 2

您需要将结果AuthenticationProvider.authenticate()放入SecurityContext（从中获得SecurityContextHolder）。

还要注意AuthenticationSuccessEvent- 如果您的应用程序依赖此事件（某些 Spring Security 功能也可能使用它），您应该发布它（您可以AuthenticationEventPublisher通过自动装配获得默认值）。用 包装您的身份验证提供程序可能很有用ProviderManager，它使用给定的发布者自动发布事件。