Question

我尝试做的是构建CRUD REST服务。它将维护用户和他们的记录数据库。我想让用户只能访问他们自己的记录。我使用Spring Security进行身份验证，并使用Bcrypt存储用户的密码。我现在可以理解的是，我的spring-security.xml像是：

<security:http auto-config='true'>
    <security:intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
    <security:http-basic />
</security:http>

<security:authentication-manager>
    <security:authentication-provider>
    <authentication-provider>
        <password-encoder ref="encoder" />
        <jdbc-user-service data-source-ref="dataSource"
            users-by-username-query="select username,password, enabled from users where username=?"
            authorities-by-username-query="select username, role from user_roles where username =?" />
    </authentication-provider>
    </security:authentication-provider>
</security:authentication-manager>

但是对于服务的进一步工作，我需要确切知道哪些用户已被授权。那我该怎么办呢？对于相关问题，有办法绕过主流用户在数据库中的角色，因为不再计划任何角色。

Answer 1

简单。

Authentication auth = SecurityContextHolder.getContext().getAuthentication();
String username = auth.getName();
Object credentials = auth.getCredentials();

要访问凭据，即密码，您需要将erase-credentials设置为false：

<security:authentication-manager erase-credentials="false">
  ...
</security:authentication-manager>

或者如果通过注释进行配置，则：

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.eraseCredentials(false);
    /* configure user-service, password-encoder etc ... */
}

如何在Spring安全的代码中获取用户的授权凭证？

1 个答案: