我们有一个Quartz / Spring Batch作业,为了审计记录的目的,我们希望对它进行认证"认证"作为系统用户。我们的一些方法依赖于获取SecurityContext来执行此操作。运行此作业的方式是可信的(或经过身份验证)。我们不想实际使用密码或其他令牌(因为该过程基本上总是由石英生成)。
我试过这个
private void authenticate() {
UserDetails admin = userDetailsService.loadUserByUsername( "admin" );
RunAsUserToken token = new RunAsUserToken(
UUID.randomUUID().toString(), admin, admin.getAuthorities(), null , null );
Authentication user = authenticationManager.authenticate( token );
if ( user.isAuthenticated() ) {
SecurityContext sc = new SecurityContextImpl();
sc.setAuthentication( user );
SecurityContextHolder.setContext( sc );
}
}
但结果是
org.springframework.security.authentication.ProviderNotFoundException: No AuthenticationProvider found for org.springframework.security.access.intercept.RunAsUserToken
并且我不确定某些RunAsUserToken参数是做什么的(例如密钥)或者我应该提供什么样的凭证。
如何验证或以其他方式设置安全上下文,就好像它已作为此用户进行身份验证?
答案 0 :(得分:12)
我还不确定RunAsUserToken。我认为它的目的是在某人已经过身份验证时使用,但应用程序将以其他用户身份执行某些操作。
I found an example of using it here
但是,也许你真的不需要那样。如果是这种情况,您可以这样做:
Authentication auth = new UsernamePasswordAuthenticationToken(admin.getUsername(), admin.getPassword(), admin.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(auth);
然后管理员将通过身份验证。此外,您不需要使用admin.getPassword(),因为它无论如何都不会被检查。
请注意,您不必创建安全上下文:它已经存在。我认为默认为ThreadLocal。