如何在 Spring Security / SpringMVC 中手动设置经过身份验证的用户
新用户提交“新帐户”表单后,我想手动登录该用户,这样他们就不必在后续页面上登录。
通过 spring 安全拦截器的普通表单登录页面工作得很好。
在 new-account-form 控制器中,我正在创建一个 UsernamePasswordAuthenticationToken 并在 SecurityContext 中手动设置它:
SecurityContextHolder.getContext().setAuthentication(authentication);
在同一页面上,我稍后检查用户是否登录:
SecurityContextHolder.getContext().getAuthentication().getAuthorities();
这将返回我之前在身份验证中设置的权限。一切都很好。
但是当在我加载的下一页上调用相同的代码时,身份验证令牌只是 UserAnonymous。
我不清楚为什么它没有保留我在上一个请求中设置的身份验证。有什么想法吗?
是否与会话 ID 设置不正确有关?
有什么东西可能会以某种方式覆盖我的身份验证吗?
也许我只需要另一个步骤来保存身份验证?
或者我需要做些什么来声明整个会话而不是单个请求的身份验证?
只是寻找一些可能有助于我了解这里发生的事情的想法。
SecurityContextHolder.getContext().setAuthentication(authentication)。它有效,并且很常见,但是如果您这样做,您将遇到严重的功能缺陷。有关详细信息,请参阅我的问题和答案:stackoverflow.com/questions/47233187/…
我找不到任何其他完整的解决方案,所以我想我会发布我的。这可能有点小技巧,但它解决了上述问题:
public void login(HttpServletRequest request, String userName, String password)
{
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(userName, password);
// Authenticate the user
Authentication authentication = authenticationManager.authenticate(authRequest);
SecurityContext securityContext = SecurityContextHolder.getContext();
securityContext.setAuthentication(authentication);
// Create a new session and add the security context.
HttpSession session = request.getSession(true);
session.setAttribute("SPRING_SECURITY_CONTEXT", securityContext);
}
我前段时间遇到了和你一样的问题。我不记得细节了,但是下面的代码对我有用。此代码在 Spring Webflow 流中使用,因此是 RequestContext 和 ExternalContext 类。但与您最相关的部分是 doAutoLogin 方法。
public String registerUser(UserRegistrationFormBean userRegistrationFormBean,
RequestContext requestContext,
ExternalContext externalContext) {
try {
Locale userLocale = requestContext.getExternalContext().getLocale();
this.userService.createNewUser(userRegistrationFormBean, userLocale, Constants.SYSTEM_USER_ID);
String emailAddress = userRegistrationFormBean.getChooseEmailAddressFormBean().getEmailAddress();
String password = userRegistrationFormBean.getChoosePasswordFormBean().getPassword();
doAutoLogin(emailAddress, password, (HttpServletRequest) externalContext.getNativeRequest());
return "success";
} catch (EmailAddressNotUniqueException e) {
MessageResolver messageResolvable
= new MessageBuilder().error()
.source(UserRegistrationFormBean.PROPERTYNAME_EMAIL_ADDRESS)
.code("userRegistration.emailAddress.not.unique")
.build();
requestContext.getMessageContext().addMessage(messageResolvable);
return "error";
}
}
private void doAutoLogin(String username, String password, HttpServletRequest request) {
try {
// Must be called from request filtered by Spring Security, otherwise SecurityContextHolder is not updated
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
token.setDetails(new WebAuthenticationDetails(request));
Authentication authentication = this.authenticationProvider.authenticate(token);
logger.debug("Logging in with [{}]", authentication.getPrincipal());
SecurityContextHolder.getContext().setAuthentication(authentication);
} catch (Exception e) {
SecurityContextHolder.getContext().setAuthentication(null);
logger.error("Failure in autoLogin", e);
}
}
@Configuration public class WebConfig extends WebSecurityConfigurerAdapter { @Bean @Override public AuthenticationManager authenticationProvider() throws Exception { return super.authenticationManagerBean(); } }
终于找到了问题的根源。
当我手动创建安全上下文时,不会创建会话对象。只有当请求完成处理时,Spring Security 机制才会意识到会话对象为空(当它在请求处理后尝试将安全上下文存储到会话中时)。
在请求结束时,Spring Security 创建一个新的会话对象和会话 ID。然而,这个新的会话 ID 永远不会到达浏览器,因为它发生在请求结束时,在对浏览器做出响应之后。当下一个请求包含前一个会话 ID 时,这会导致新的会话 ID(以及因此包含我手动登录的用户的安全上下文)丢失。
打开调试日志以更好地了解正在发生的事情。
您可以通过使用浏览器端调试器查看 HTTP 响应中返回的标头来判断是否正在设置会话 cookie。 (还有其他方法。)
一种可能性是 SpringSecurity 正在设置安全会话 cookie,并且您请求的下一页具有“http”URL 而不是“https”URL。 (浏览器不会为“http”URL 发送安全 cookie。)
Servlet 2.4 中新增的过滤特性,基本缓解了过滤器只能在应用服务器实际处理请求前后的请求流中操作的限制。相反,Servlet 2.4 过滤器现在可以在每个分派点与请求分派器交互。这意味着当 Web 资源将请求转发到另一个资源(例如,servlet 将请求转发到同一应用程序中的 JSP 页面)时,可以在目标资源处理请求之前运行过滤器。这也意味着如果一个 Web 资源包含来自其他 Web 资源的输出或功能(例如,一个 JSP 页面包括来自多个其他 JSP 页面的输出),Servlet 2.4 过滤器可以在每个包含的资源之前和之后工作。 .
要打开该功能,您需要:
web.xml
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/<strike>*</strike></url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
注册控制器
return "forward:/login?j_username=" + registrationModel.getUserEmail()
+ "&j_password=" + registrationModel.getPassword();
我试图测试一个 extjs 应用程序,在成功设置了 testingAuthenticationToken 之后,它突然停止工作,没有明显的原因。
我无法得到上述答案,所以我的解决方案是在测试环境中跳过这一点春天。我在春天周围引入了一个接缝,如下所示:
public class SpringUserAccessor implements UserAccessor
{
@Override
public User getUser()
{
SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
return (User) authentication.getPrincipal();
}
}
用户是这里的自定义类型。
然后我将它包装在一个类中,该类只有一个选项供测试代码切换。
public class CurrentUserAccessor
{
private static UserAccessor _accessor;
public CurrentUserAccessor()
{
_accessor = new SpringUserAccessor();
}
public User getUser()
{
return _accessor.getUser();
}
public static void UseTestingAccessor(User user)
{
_accessor = new TestUserAccessor(user);
}
}
测试版本看起来像这样:
public class TestUserAccessor implements UserAccessor
{
private static User _user;
public TestUserAccessor(User user)
{
_user = user;
}
@Override
public User getUser()
{
return _user;
}
}
在调用代码中,我仍在使用从数据库加载的正确用户:
User user = (User) _userService.loadUserByUsername(username);
CurrentUserAccessor.UseTestingAccessor(user);
显然,如果您确实需要使用安全性,那么这将不适合,但我正在为测试部署使用无安全性设置。我认为其他人可能会遇到类似的情况。这是我以前用来模拟静态依赖项的模式。另一种选择是您可以保持包装类的静态性,但我更喜欢这个,因为代码的依赖关系更加明确,因为您必须将 CurrentUserAccessor 传递到需要它的类中。
authenticationManager?setAuthentication()进行手动登录会绕过一些弹簧的东西,例如强制用户的最大并发会话限制,在登录时更改用户会话 ID 以防止会话固定,会话的自动注册进入SessionRegistry,甚至更多。