在我的控制器中,当我需要活动(登录)用户时,我正在执行以下操作以获取UserDetails实现:
User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
log.debug(activeUser.getSomeCustomField());它工作正常,但我认为Spring在这种情况下可以使生活更轻松。有没有办法将UserDetails自动接线连接到控制器或方法中?
例如,类似:
public ModelAndView someRequestHandler(Principal principal) { ... }但是UsernamePasswordAuthenticationToken我得到了,UserDetails而不是得到了?
我正在寻找一个优雅的解决方案。有任何想法吗?
Answers:
序言:从Spring-Security 3.2开始@AuthenticationPrincipal,此答案的末尾描述了一个不错的注释。当您使用Spring-Security> = 3.2时,这是最好的方法。
当你:
HandlerMethodArgumentResolver或如何WebArgumentResolver以一种优雅的方式解决此问题,或者只是想要了解@AuthenticationPrincipaland 的背景AuthenticationPrincipalArgumentResolver(因为它基于HandlerMethodArgumentResolver)然后继续阅读-否则,请使用@AuthenticationPrincipal并感谢Rob Winch(的作者@AuthenticationPrincipal)和Lukas Schmelzeisen(的回答)。
(顺便说一句:我的答案有点老(2012年1月),因此是Lukas Schmelzeisen作为第一个使用@AuthenticationPrincipal基于Spring Security 3.2 的注释解决方案的人。)
然后您可以在控制器中使用
public ModelAndView someRequestHandler(Principal principal) {
User activeUser = (User) ((Authentication) principal).getPrincipal();
...
}如果您需要一次,那没关系。但是,如果您因其丑陋而需要它的几倍,因为它会污染您的控制器的基础结构详细信息,则通常应将其隐藏在框架中。
因此,您可能真正想要的是拥有一个像这样的控制器:
public ModelAndView someRequestHandler(@ActiveUser User activeUser) {
...
}因此,您只需要实现一个即可WebArgumentResolver。它有一种方法
Object resolveArgument(MethodParameter methodParameter,
NativeWebRequest webRequest)
throws Exception这将获取Web请求(第二个参数),并且User如果感觉对方法参数(第一个参数)负责,则必须返回。
从Spring 3.1开始,有一个新概念称为HandlerMethodArgumentResolver。如果使用Spring 3.1+,则应该使用它。(此答案的下一部分对此进行了说明)
public class CurrentUserWebArgumentResolver implements WebArgumentResolver{
Object resolveArgument(MethodParameter methodParameter, NativeWebRequest webRequest) {
if(methodParameter is for type User && methodParameter is annotated with @ActiveUser) {
Principal principal = webRequest.getUserPrincipal();
return (User) ((Authentication) principal).getPrincipal();
} else {
return WebArgumentResolver.UNRESOLVED;
}
}
}您需要定义“自定义注释”-如果应始终从安全上下文中获取“用户”的每个实例,但绝不要将其作为命令对象,则可以跳过它。
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ActiveUser {}在配置中,您只需要添加以下内容:
<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter"
id="applicationConversionService">
<property name="customArgumentResolver">
<bean class="CurrentUserWebArgumentResolver"/>
</property>
</bean>@See:学习自定义Spring MVC @Controller方法参数
应该注意的是,如果您使用的是Spring 3.1,他们建议使用HandlerMethodArgumentResolver而不是WebArgumentResolver。-见周杰伦的评论
HandlerMethodArgumentResolverSpring 3.1+ 相同public class CurrentUserHandlerMethodArgumentResolver
implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter methodParameter) {
return
methodParameter.getParameterAnnotation(ActiveUser.class) != null
&& methodParameter.getParameterType().equals(User.class);
}
@Override
public Object resolveArgument(MethodParameter methodParameter,
ModelAndViewContainer mavContainer,
NativeWebRequest webRequest,
WebDataBinderFactory binderFactory) throws Exception {
if (this.supportsParameter(methodParameter)) {
Principal principal = webRequest.getUserPrincipal();
return (User) ((Authentication) principal).getPrincipal();
} else {
return WebArgumentResolver.UNRESOLVED;
}
}
}在配置中,您需要添加此
<mvc:annotation-driven>
<mvc:argument-resolvers>
<bean class="CurrentUserHandlerMethodArgumentResolver"/>
</mvc:argument-resolvers>
</mvc:annotation-driven>@See 利用Spring MVC 3.1 HandlerMethodArgumentResolver接口
春季安全3.2(不使用Spring 3.2混淆)在溶液中有自己的编译:@AuthenticationPrincipal(org.springframework.security.web.bind.annotation.AuthenticationPrincipal)。Lukas Schmelzeisen的回答对此进行了很好的描述。
只是在写
ModelAndView someRequestHandler(@AuthenticationPrincipal User activeUser) {
...
}要使此工作正常进行,您需要注册AuthenticationPrincipalArgumentResolver(org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver):通过“激活” @EnableWebMvcSecurity或在其中注册此Bean,mvc:argument-resolvers这与我在上面的Spring 3.1解决方案中所描述的方式相同。
@请参阅《Spring Security 3.2参考》的第11.2章。@AuthenticationPrincipal
它的工作方式类似于Spring 3.2解决方案,但是在Spring 4.0中,@AuthenticationPrincipaland AuthenticationPrincipalArgumentResolver被“移动”到另一个软件包中:
org.springframework.security.core.annotation.AuthenticationPrincipalorg.springframework.security.web.method.annotation.AuthenticationPrincipalArgumentResolver(但是旧包中的旧类仍然存在,因此请不要混合使用!)
只是在写
import org.springframework.security.core.annotation.AuthenticationPrincipal;
ModelAndView someRequestHandler(@AuthenticationPrincipal User activeUser) {
...
}要使此工作正常进行,您需要注册(org.springframework.security.web.method.annotation.)AuthenticationPrincipalArgumentResolver:通过“激活” @EnableWebMvcSecurity或在其中注册此Bean,mvc:argument-resolvers这与我在上面的Spring 3.1解决方案中所描述的方式相同。
<mvc:annotation-driven>
<mvc:argument-resolvers>
<bean class="org.springframework.security.web.method.annotation.AuthenticationPrincipalArgumentResolver" />
</mvc:argument-resolvers>
</mvc:annotation-driven>(id="applicationConversionService")在示例中指定了ID
尽管Ralphs Answer提供了一种优雅的解决方案,但使用Spring Security 3.2,您不再需要实现自己的ArgumentResolver。
如果有UserDetails实现CustomUser,则可以执行以下操作:
@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal CustomUser customUser) {
// .. find messages for this User and return them...
}@EnableWebMvcSecurityXML或以XML 启用:<mvc:annotation-driven> <mvc:argument-resolvers> <bean class="org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver" /> </mvc:argument-resolvers> </mvc:annotation-driven>
customUser为空?
if (customUser != null) { ... }
Spring Security旨在与其他非Spring框架一起使用,因此未与Spring MVC紧密集成。Spring Security 默认情况下Authentication从HttpServletRequest.getUserPrincipal()方法返回对象,这就是您作为主体得到的。您可以UserDetails使用以下方法直接从中获取对象
UserDetails ud = ((Authentication)principal).getPrincipal()还要注意,对象类型可能会根据所使用的身份验证机制而有所不同(UsernamePasswordAuthenticationToken例如,您可能不会获得),Authentication并且不一定严格包含UserDetails。它可以是字符串或任何其他类型。
如果您不想SecurityContextHolder直接调用,最优雅的方法(我会遵循这种方法)是注入您自己的自定义安全上下文访问器接口,该接口是经过定制的,可以满足您的需求和用户对象类型。使用相关方法创建一个接口,例如:
interface MySecurityAccessor {
MyUserDetails getCurrentUser();
// Other methods
}然后,您可以通过访问SecurityContextHolder标准实现中的实现,从而将代码与Spring Security完全脱钩。然后将其注入需要访问安全信息或当前用户信息的控制器中。
另一个主要好处是,使用固定数据进行测试很容易实现简单的实现,而不必担心填充线程局部变量等。
实现HandlerInterceptor接口,然后将注入UserDetails到具有Model的每个请求中,如下所示:
@Component
public class UserInterceptor implements HandlerInterceptor {
....other methods not shown....
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
if(modelAndView != null){
modelAndView.addObject("user", (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal());
}
}<mvc:interceptors>在应用程序配置文件中添加。
spring-security-taglibs以下方式在模板中获得授权用户:stackoverflow.com/a/44373331/548473
从Spring Security版本3.2开始,一些较早的答案已实现的自定义功能以附带的@AuthenticationPrincipal批注的形式开箱即用AuthenticationPrincipalArgumentResolver。
一个简单的用法示例是:
@Controller
public class MyController {
@RequestMapping("/user/current/show")
public String show(@AuthenticationPrincipal CustomUser customUser) {
// do something with CustomUser
return "view";
}
}需要从以下位置分配CustomUser authentication.getPrincipal()
这是AuthenticationPrincipal和AuthenticationPrincipalArgumentResolver的相应Javadocs
并且如果您需要模板(例如JSP)中的授权用户,请使用
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<sec:authentication property="principal.yourCustomField"/>和...一起
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${spring-security.version}</version>
</dependency>您可以尝试以下操作:通过使用Spring中的Authentication Object,我们可以在controller方法中从中获取User详细信息。下面是示例,通过在controller方法中传递Authentication对象以及参数。一旦对用户进行身份验证,详细信息就会填充到Authentication Object中。
@GetMapping(value = "/mappingEndPoint") <ReturnType> methodName(Authentication auth) {
String userName = auth.getName();
return <ReturnType>;
}