Question

我有一个使用@PreAuthorize保护的方法

@PreAuthorize("hasRole('ROLE_ADMIN') and (#action.userId != principal.id)")
public void execute(EditAction action)

现在我需要从后台任务调用此方法。如果我只是运行此代码 - 我会遇到异常：

AuthenticationCredentialsNotFoundException：在SecurityContext中找不到Authentication对象

似乎，我需要将任何身份验证设置为SecurityContext。我可以：

为后台任务编写一些自定义AuthenticationToken。
将UsernamePasswordAuthenticationToken与假用户一起使用。
不要在后台任务中使用安全方法。
还有别的吗？

什么是正确的方法？

Answer 1

您可以在当前线程和会话中自行注册身份验证令牌（如果在Web应用程序中使用）：

SecurityContextHolder.getContext().setAuthentication(token);
session.put(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());

只要添加适当的角色，就可以使用标准的UsernamePasswordAuthenticationToken。

Answer 2

在这种情况下，可以选择“手动解决方法”：

（1）如果这是一项独立的工作，

在调用安全方法之前，创建一个Authentication对象并将其设置为安全上下文。完成安全方法执行后，从安全上下文中删除Authentication对象。

public final class AuthenticationUtil {

//Ensures that this class cannot be instantiated
private AuthenticationUtil() {
}

public static void clearAuthentication() {
    SecurityContextHolder.getContext().setAuthentication(null);
}

public static void configureAuthentication(String role) {
    Collection<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(role);
    Authentication authentication = new UsernamePasswordAuthenticationToken(
            "user",
            role,
            authorities
    );
    SecurityContextHolder.getContext().setAuthentication(authentication);
}

所以看起来像

AuthenticationUtil.configureAuthentication(role);
// Call to the secured method 
AuthenticationUtil.clearAuthentication();

（2）对于Web应用程序，我们无法将身份验证对象设置为null，请不要调用

AuthenticationUtil.configureAuthentication(role);
// call to the secured method

Spring Security：在后台任务中使用@PreAuthorize调用方法的正确方法是什么？

2 个答案: