1.概述

在這篇快速文章中，我們將 重點介紹如何以編程方式在Spring Security和Spring MVC中設置經過身份驗證的用戶 。

2. Spring Security

簡而言之， Spring Security在ThreadLocal中保存每個經過身份驗證的用戶的主要信息 - 保存的是Authentication對象 。

為了構造和設置此Authentication對象， 通常我們需要使用Spring Security在標準身份驗證上構建對象的相 同方法。

要讓我們手動觸發(fā)身份驗證， 然后將生成的身份驗證對象設置為框架用來保存當前登錄用戶的當前SecurityContext ：

UsernamePasswordAuthenticationToken authReq
 = new UsernamePasswordAuthenticationToken(user, pass);
Authentication auth = authManager.authenticate(authReq);
SecurityContext sc = SecurityContextHolder.getContext();
securityContext.setAuthentication(auth);

在上下文中設置身 份驗證后，我們現在可以使用securityContext.getAuthentication（）。isAuthenticated（）檢查當前用戶是否經過身份驗證 。

3. Spring MVC

默認情況下，Spring Security 在Spring Security過濾器鏈中添加了一個額外的過濾器。它能夠持久化Security 上下 文（SecurityContextPersistenceFilter類）。

反過來， 它將Security上下文的持久性委托給SecurityContextRepository的實例，默認為HttpSessionSecurityContextRepository 類。

因此，為了 在請求上設置身份驗證并因此使其可用于來自客戶端的所有后續(xù)請求，我們需要在HTTP會話中手動設置包含身份驗證的SecurityContext ：

public void login(HttpServletRequest req, String user, String pass) { 
  UsernamePasswordAuthenticationToken authReq
   = new UsernamePasswordAuthenticationToken(user, pass);
  Authentication auth = authManager.authenticate(authReq);
   
  SecurityContext sc = SecurityContextHolder.getContext();
  sc.setAuthentication(auth);
  HttpSession session = req.getSession(true);
  session.setAttribute(SPRING_SECURITY_CONTEXT_KEY, sc);
}

SPRING_SECURITY_CONTEXT_KEY是靜態(tài)導入的HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY。

應該注意 的是，我們不能直接使用HttpSessionSecurityContextRepository - 因為它與SecurityContextPersistenceFilter一起 使用。

這是因為過濾 器使用存儲庫來加載和存儲Security上下文在前，在鏈中執(zhí)行其余已定義的過濾器在后，但是它在傳遞給鏈的響應上使用自定義 包裝器。。

因此，在這種情況下，您應該知道所使用的包裝器的類類型，并將其傳遞給存儲庫中的相應save方法。

4.總結

在這個快速教程中，我們討論了如何在Spring Security上下文中手動設置用戶身份驗證以及如何使其可用于Spring MVC的目標。專注于代碼示例，說明實現它的最簡單 方法。

與往常一樣，可以 在GitHub上找到代碼 示例。

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

最新評論