关于Spring Security 手动设置Authentication的问题

漫雪信步 2015-08-06 03:10:22
applicationContext-security.xml:
<b:bean id="customFilter"
class="com.mybatis.security.FilerSecurityInterceptor">
<b:property name="authenticationManager"
ref="authenticationManager"/> <!-- 认证管理 -->
<b:property name="accessDecisionManager"
ref="customAccessDecisionManager"/><!-- 访问决策管理 -->
<b:property name="securityMetadataSource"
ref="customSecurityMetadataSource"/> <!--安全性元数据源 -->
</b:bean>

UserAccessDecisionManager( 访问决策管理 )里的方法:
public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
throws AccessDeniedException, InsufficientAuthenticationException {。。。}
authentication这个当前用户信息是空的它取的是默认的这值;我现在想手动添加当前用户信息;

我的这个场景是移动端上传数据(带用户信息到服务端代理GenericServlet,在GenericServlet中启动Spring容器,然后调用相应实际的servlet;

请高手帮忙看一下,谢了;

...全文
9511 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
cheered_rock 2016-08-30
  • 打赏
  • 举报
 回复
引用 1 楼 Giberson1 的回复:
一般的身份认证 从Spring Security核心部分,对Spring Security有一个笼统概念了,那该怎么理解上面说的呢? 通常情况下,我们的系统都是这样的: 1、用户输入用户名、密码登录 2、系统对用户名、密码进行验证 3、获取用户上下文信息(角色列表等等) 4、获取相关操作权限 对于上面说的前三条,用Spring Security来处理,就是: 1、用户名、密码组合生成一个Authentication对象(也就是UsernamePasswordAuthenticationToken对象)。 2、生成的这个token对象会传递给一个AuthenticationManager对象用于验证。 3、当成功认证后,AuthenticationManager返回一个Authentication对象。 4、接下来,就可以调用 SecurityContextHodler.getContext().setAuthentication(…)。 为了更好的理解,下面就写一个例子: 
package com.springsecurity.java.test;
 
 
 
import java.io.BufferedReader;
 
import java.io.InputStreamReader;
 
import java.util.ArrayList;
 
import java.util.List;
 
 
 
import org.springframework.security.authentication.AuthenticationManager;
 
import org.springframework.security.authentication.BadCredentialsException;
 
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
 
import org.springframework.security.core.Authentication;
 
import org.springframework.security.core.AuthenticationException;
 
import org.springframework.security.core.GrantedAuthority;
 
import org.springframework.security.core.authority.SimpleGrantedAuthority;
 
import org.springframework.security.core.context.SecurityContextHolder;
 
 
 
public class AuthenticationExample {
 
   private static SimpleAuthenticationManager samgr = new SimpleAuthenticationManager();
 
 
 
   public static void main(String[] args) {
 
      try {
 
// 用户输入用户名、密码:
 
        BufferedReader in = new BufferedReader(new InputStreamReader(
 
              System.in));
 
        System.out.println("Please enter your username:");
 
        String name = in.readLine();
 
        System.out.println("Please enter your password:");
 
        String password = in.readLine();
 
// 接下来是系统进行身份认证的过程:
 
//1、将用户名、密码封装成一个token
 
        Authentication token = new UsernamePasswordAuthenticationToken(
 
              name, password);
 
//2、将token传给AuthenticationManager进行身份认证
 
//3、认证完毕,返回一个认证后的身份:
 
        Authentication result = samgr.authenticate(token);
 
// 认证后,存储到SecurityContext里 :    SecurityContextHolder.getContext().setAuthentication(result);
 
      } catch (Exception ex) {
 
        System.out.println("认证失败");
 
      }
 
 
 
// 从SecurityContext读取认证的身份:
 
System.out.println(SecurityContextHolder.getContext()
 
           .getAuthentication());
 
   }
 
}
 
 
 
class SimpleAuthenticationManager implements AuthenticationManager {
 
   static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();
 
   static {
 
      AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));
 
   }
 
 
 
   public Authentication authenticate(Authentication auth)
 
        throws AuthenticationException {
 
      if (auth.getName().equals(auth.getCredentials())) {
 
        return new UsernamePasswordAuthenticationToken(auth.getName(),
 
              auth.getCredentials(),AUTHORITIES);
 
      }
 
      throw new BadCredentialsException("Bad Credentials");
 
   }
 
 
 
}
非常管用,3Q
漫雪信步 2015-08-07
  • 打赏
  • 举报
 回复
你好 Authentication 对象现在能加进去了;但是authenticationManager节点的代码没有执行;(容器只调用了accessDecisionManager,securityMetadataSource这两个节点); 虽然SimpleAuthenticationManager已经做了authenticationManager节点做的事,但是只用accessDecisionManager,securityMetadataSource这两个节点,用户信息验证的部分是手动调用这样是不是有点怪;
Giberson1 2015-08-06
  • 打赏
  • 举报
 回复
一般的身份认证 从Spring Security核心部分,对Spring Security有一个笼统概念了,那该怎么理解上面说的呢? 通常情况下,我们的系统都是这样的: 1、用户输入用户名、密码登录 2、系统对用户名、密码进行验证 3、获取用户上下文信息(角色列表等等) 4、获取相关操作权限 对于上面说的前三条,用Spring Security来处理,就是: 1、用户名、密码组合生成一个Authentication对象(也就是UsernamePasswordAuthenticationToken对象)。 2、生成的这个token对象会传递给一个AuthenticationManager对象用于验证。 3、当成功认证后,AuthenticationManager返回一个Authentication对象。 4、接下来,就可以调用 SecurityContextHodler.getContext().setAuthentication(…)。 为了更好的理解,下面就写一个例子: 
package com.springsecurity.java.test;
 
 
 
import java.io.BufferedReader;
 
import java.io.InputStreamReader;
 
import java.util.ArrayList;
 
import java.util.List;
 
 
 
import org.springframework.security.authentication.AuthenticationManager;
 
import org.springframework.security.authentication.BadCredentialsException;
 
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
 
import org.springframework.security.core.Authentication;
 
import org.springframework.security.core.AuthenticationException;
 
import org.springframework.security.core.GrantedAuthority;
 
import org.springframework.security.core.authority.SimpleGrantedAuthority;
 
import org.springframework.security.core.context.SecurityContextHolder;
 
 
 
public class AuthenticationExample {
 
   private static SimpleAuthenticationManager samgr = new SimpleAuthenticationManager();
 
 
 
   public static void main(String[] args) {
 
      try {
 
// 用户输入用户名、密码:
 
        BufferedReader in = new BufferedReader(new InputStreamReader(
 
              System.in));
 
        System.out.println("Please enter your username:");
 
        String name = in.readLine();
 
        System.out.println("Please enter your password:");
 
        String password = in.readLine();
 
// 接下来是系统进行身份认证的过程:
 
//1、将用户名、密码封装成一个token
 
        Authentication token = new UsernamePasswordAuthenticationToken(
 
              name, password);
 
//2、将token传给AuthenticationManager进行身份认证
 
//3、认证完毕,返回一个认证后的身份:
 
        Authentication result = samgr.authenticate(token);
 
// 认证后,存储到SecurityContext里 :    SecurityContextHolder.getContext().setAuthentication(result);
 
      } catch (Exception ex) {
 
        System.out.println("认证失败");
 
      }
 
 
 
// 从SecurityContext读取认证的身份:
 
System.out.println(SecurityContextHolder.getContext()
 
           .getAuthentication());
 
   }
 
}
 
 
 
class SimpleAuthenticationManager implements AuthenticationManager {
 
   static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();
 
   static {
 
      AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));
 
   }
 
 
 
   public Authentication authenticate(Authentication auth)
 
        throws AuthenticationException {
 
      if (auth.getName().equals(auth.getCredentials())) {
 
        return new UsernamePasswordAuthenticationToken(auth.getName(),
 
              auth.getCredentials(),AUTHORITIES);
 
      }
 
      throw new BadCredentialsException("Bad Credentials");
 
   }
 
 
 
}
程序员面试刷题的书哪个好-spring-security-study:SpringSecurity权限框架学习
程序员面试刷题的书哪个好 第一章 简介 1.1 概要 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案 Web 应用的安全性包括 用户认证(Authentication) 和 用户授权(Authorization) 两个部分,这两个部分也是 Spring Security 的重要核心功能 用户认证( Authentication ) 用户授权( Authorization ) 1.2 同款产品对比 SpringSecurity 特点 和 Spring 无缝整合 全面的权限控制 专门为 Web 开发而设计 旧版本不能脱离 Web 环境使用 新版本中对整个框架进行了分层抽取,分成了核心模块和 Web 模块,单独引入核心模块就可以脱离 Web 环境 重量级(缺点) Shiro 的特点 轻量级。针对性能有更高要求的互联网应用有更好表现 通用性 好处:不局限于 Web 环境,可以脱离 Web 环境使用 坏处:在 Web 环境下一些特定的需求需要手动编写代码定制 1.3 Hello World 创建对应的 SpringBoot 工程 导入对应的
关于spring security中的authentication对象与session
spring security中,在认证之后的authentication对象会自动装入session当中,其session key默认为SPRING_SECURITY_CONTEXT,因此之后关于认证的数据我们不需要手动装入session。
解决关于spring security手动设置认证用户无效的问题
这里主要是为了总结一下调试的方式方法。毕竟调试了2天,实在是差劲。还未找到问题根源,但比起https://stackoverflow.com/questions/4664893/how-to-manually-set-an-authenticated-user-in-spring-security-springmvc中的解决方式还是没有那么hack了。问题:通过微信回调程序的认证接口进行登录,并将...
如何使用 Spring Security手动验证用户
默认情况下,Spring SecuritySpring Security 过滤器链中添加了一个额外的过滤器——它能够持久化安全上下文(在这篇快速文章中,我们将重点介绍如何在Spring SecuritySpring MVC中以编程方式设置经过身份验证的用户。这是因为过滤器使用存储库来加载和存储链中其余定义的过滤器之前和之后的安全上下文,但它在传递给链的响应上使用自定义包装器。因此,在这种情况下,您应该知道所用包装器的类类型,并将其传递给存储库中的相应 save 方法。后,我们现在可以使用。
spring security手动登录
最近在做项目时,需要第三方登录,然后获取用户名和密码再通过spring security 的登录认证。搜索网上多出发现两种方案: 第一种: 先经过自己的action完成需要做的事情之后,跳转到j_spring_security_check也就是spring security的认证,经过多次尝试总是找不到j_spring_security_check 报404,有知道怎么做的朋友欢迎留言 第二种: 先
Web 开发

81,092

社区成员

341,716

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章