问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

Spring MVC - 检查用户是否已经通过 Spring Security 登录?

社区维基
1
新手上路,请多包涵

我有一个 Spring MVC 应用程序。 它使用自己的自定义登录页面。成功登录后,“LOGGED_IN_USER”对象将放置在 HTTPSession 中。

我只想允许经过身份验证的用户访问 URL。我知道我可以通过使用网络过滤器来实现这一点。但是,这部分我想使用 Spring Security 来完成(我的检查将保持不变 - 在 HTTPSession 中查找“LOGGED_IN_USER”对象,如果存在则表示您已登录)。

我的约束是我目前无法更改登录行为 - 还不会使用 Spring Security。

我可以使用 Spring Security 的哪个方面来单独实现这部分 - 检查请求是否经过身份验证(来自登录用户)?

原文由 Jasper 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javaspring安全spring-mvcspring-security
阅读 834
2 个回答
得票最新
社区维基
1
✓ 已被采纳

至少有4种不同的方式:

弹簧安全 XML 配置

这是最简单的方法

<security:http auto-config="true" use-expressions="true" ...>
   ...
  <security:intercept-url pattern="/forAll/**" access="permitAll" />
  <security:intercept-url pattern="/**" access="isAuthenticated()" />
</security:http>

每个 @Secured 注释

需要 <global-method-security secured-annotations="enabled" />

 @Secured("ROLE_ADMIN")
@RequestMapping(params = "onlyForAdmins")
public ModelAndView onlyForAdmins() {
    ....
}

每个 @PreAuthorize 注释

需要 <global-method-security pre-post-annotations="enabled" />

  @PreAuthorize("isAuthenticated()")
 @RequestMapping(params = "onlyForAuthenticated")
 public ModelAndView onlyForAuthenticatedUsers() {
     ....
 }

程式化

 SecurityContextHolder.getContext().getAuthentication() != null &&
 SecurityContextHolder.getContext().getAuthentication().isAuthenticated() &&
 //when Anonymous Authentication is enabled
 !(SecurityContextHolder.getContext().getAuthentication()
          instanceof AnonymousAuthenticationToken)

自定义表达式

如果内置表达式不够用,可以扩展它们。例如,此处讨论了如何扩展方法注释的 SpEL 表达式:

但是对于拦截器 <security:intercept-url ... access="myCustomAuthenticatedExpression" /> 可能有一种稍微不同的方法,不需要处理私有类问题。 – 我只为 Spring Security 3.0 做过,但我希望它也适用于 3.1。

1.) 您需要创建一个从 WebSecurityExpressionRoot 扩展的新类(前缀 Web 是重要部分!)。

 public class MyCustomWebSecurityExpressionRoot
         extends WebSecurityExpressionRoot {
     public MyCustomWebSecurityExpressionRoot(Authentication a,
                 FilterInvocation f) {
          super(a, f);
     }

     /** That method is the one that does the expression evaluation! */
     public boolean myCustomAuthenticatedExpression() {
        return super.request.getSession().getValue("myFlag") != null;
     }
}

2.) 您需要扩展 DefaultWebSecurityExpressionRootHandler 以获得提供自定义表达式根的处理程序

 public class MyCustomWebSecurityExpressionHandler
              extends DefaultWebSecurityExpressionHandler {

      @Override
      public EvaluationContext createEvaluationContext(Authentication a,
                FilterInvocation f) {
          StandardEvaluationContext ctx =
                   (StandardEvaluationContext) super.createEvaluationContext(a, f);

           WebSecurityExpressionRoot myRoot =
                    new MyCustomWebSecurityExpressionRoot(a, f);

           ctx.setRootObject(myRoot);
           return ctx;
      }
 }

3.) 然后你需要向选民注册你的处理程序

<security:http use-expressions="true"
 access-decision-manager-ref="httpAccessDecisionManager" ...>
      ...
    <security:intercept-url pattern="/restricted/**"
              access="myCustomAuthenticatedExpression" />
      ...
</security:http>

<bean id="httpAccessDecisionManager"
      class="org.springframework.security.access.vote.AffirmativeBased">
    <constructor-arg name="decisionVoters">
            <list>
                <ref bean="webExpressionVoter" />
            </list>
    </constructor-arg>
</bean>

<bean id="webExpressionVoter"
      class="org.springframework.security.web.access.expression.WebExpressionVoter">
    <property name="expressionHandler"
              ref="myCustomWebSecurityExpressionHandler" />
</bean>

<bean id="myCustomWebSecurityExpressionHandler"
    class="MyCustomWebSecurityExpressionHandler" />

春季安全 3.1 更新

从 Spring Security 3.1 开始,实现自定义表达式要容易一些。不再需要子类 WebSecurityExpressionHandler 和覆盖 createEvaluationContext 。而是一个子类 AbstractSecurityExpressionHandler<FilterInvocation> 或其子类 DefaultWebSecurityExpressionHandler 并覆盖 SecurityExpressionOperations createSecurityExpressionRoot(final Authentication a, final FilterInvocation f)

  public class MyCustomWebSecurityExpressionHandler
              extends DefaultWebSecurityExpressionHandler {

      @Override
      public SecurityExpressionOperations createSecurityExpressionRoot(
                Authentication a,
                FilterInvocation f) {
           WebSecurityExpressionRoot myRoot =
                    new MyCustomWebSecurityExpressionRoot(a, f);

           myRoot.setPermissionEvaluator(getPermissionEvaluator());
           myRoot.setTrustResolver(this.trustResolver);
           myRoot.setRoleHierarchy(getRoleHierarchy());
           return myRoot;
      }
 }

原文由 Ralph 发布,翻译遵循 CC BY-SA 3.0 许可协议

社区维基
1

另一种解决方案,您可以创建类:

 public class AuthenticationSystem {
    public static boolean isLogged() {
        final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return null != authentication && !("anonymousUser").equals(authentication.getName());
    }
    // ...
    // Any another methods, for example, logout
}

然后,在控制器中:

 @Controller
@RequestMapping(value = "/promotion")
public final class PromotionController {
    @RequestMapping(value = {"", "/"}, method = RequestMethod.GET)
    public final String root() {
        if (!AuthenticationSystem.isLogged()) return "login"; // or some logic
        // some logic
        return "promotion/index";
    }
}

附言

以前的解决方案有一个问题,彼得在评论中解释。

 @Controller
@RequestMapping(value = "/promotion")
public final class PromotionController {
    @RequestMapping(value = {"", "/"}, method = RequestMethod.GET)
    public final String root(final Principal principal) {
        if (null == principal) return "login"; // or some logic
        // some logic
        return "promotion/index";
    }
}

原文由 Alexey Nikitenko 发布,翻译遵循 CC BY-SA 4.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题