如何在Spring Security中进行用户身份验证期间访问HttpServletRequest对象？

Question

我的应用程序要求是我需要解析来自http请求URL的一些信息，以便对用户进行身份验证。显然我只是不能使用UserDetailsS​​ervice的实现。

我的问题是，如何实现需要访问HttpServletRequest的UserDetailsS​​ervice（或等效的身份验证方案）？

我的Spring Security版本是3.0.7.RELEASE

Answer 1

Spring Security FAQ中有一个非常相似的问题。

您可以将自定义AuthenticationDetailsSource注入身份验证过滤器，以从传入请求中提取其他相关信息。然后，可以从自定义Authentication中提交的AuthenticationProvider对象获取此信息。

Answer 2

可能的解决方案之一是使用RequestContextFilter。您可以在web.xml中定义它，如以下代码段所示：

<filter>
  <filter-name>requestContextFilter</filter-name>
  <filter-class>org.springframework.web.filter.RequestContextFilter</filter-class>
</filter>

<filter-mapping>
  <filter-name>requestContextFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

或者如果你只是需要它来解决一些安全问题，那么更好的地方就是把它放到Spring Security配置文件中，如下例所示：

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
                      http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">

  <http>
    <custom-filter ref="requestContextFilter" before="FORM_LOGIN_FILTER"/>
    <form-login login-page="/login" authentication-failure-url="/login?error=failed" />
  </http>
  <beans:bean id="requestContextFilter" class="org.springframework.web.filter.RequestContextFilter"/>

  <authentication-manager alias="authManager">
    <authentication-provider ref="authProvider" />
  </authentication-manager>
  <beans:bean id="authProvider" class="my.company.CustomAuthProvider" />
</beans:beans>

然后，您可以在Spring Security类中使用RequestContextHolder.currentRequestAttributes()方法。例如如下：

public class CustomAuthProvider extends DaoAuthenticationProvider {
  @Override
  public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
    System.err.println(attr.getRequest().getParameter("myParameterName"));
    return super.authenticate(authentication);
  }
}

Answer 3

你需要按照here所描述的那样使servlet成为一个Spring bean。