使用 Spring Security 我有一个这样的DaoAuthenticationProvider
描述:
http://static.springsource.org/spring-security/site/docs/2.0.x/reference/dao-provider.html
我也有缓存(也像那篇文章中描述的那样)。
问题是当一个请求带有一个好的用户名(已经在缓存中),但是一个错误的密码时 - 它从缓存中返回用户,就好像它是一个好的用户名/密码一样。因为它使用用户名作为密钥,所以根本不涉及密码。
从缓存中返回用户的确切代码:
UserDetails user = this.userCache.getUserFromCache(username);
以前有人处理过这个问题吗?我也可以检查密码是否相同,但这将是一个自定义的东西。
谢谢你。