我在Spring Security配置中定义了自定义身份验证提供程序。这个类实现了AuthenticationProvider,我可以使用我页面上定义的表单成功登录。问题是我想要不仅在登录页面上调用此类,而且还要从注册页面调用此类。
注册页面使用不同的命令类,并收集比登录表单更多的信息。现在,当用户注册时,我调用适当的控制器,将记录添加到数据库,然后他们可以登录,但他们没有自动登录。由于他们刚刚在注册页面上给了我他们的用户名/密码,我可以将它传递给自定义的AuthenticationProvider类,以便他们也登录吗?
我尝试在注册控制器中创建一个org.springframework.security.Authentication类,并在我的客户AuthenticationProvider类上调用authenticate方法,这不会出错,但是用户没有登录。我必须在Spring Security过滤器链中调用更高的方法才能实现此目的吗?我应该将控制器重定向到j_spring_security_check URL吗?如果是这样,我将如何传递用户名/密码?
答案 0 :(得分:3)
您遇到的问题是,虽然您已成功验证用户,但尚未将此身份验证的结果存储在用户的SecurityContext中。在SecurityContextPersistenceFilter将用于this is a ThreadLocal object
HTTPSession中
如果可以,您还应该避免直接使用自定义身份验证提供程序进行身份验证。您的xml配置应包含自定义身份验证提供程序已连接到的AuthenticationManager。例如,
<bean id="customAuthenticationProvider"
class="com.foo.CustomAuthenticationProvider">
<property name="accountService" ref="accountService"/>
</bean>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="customAuthenticationProvider"/>
</security:authentication-manager>
如果您将authenticationManager连接到您的注册服务并使用该服务进行身份验证,则另外
我们的注册服务如下:
final UsernamePasswordAuthenticationToken authRequest = new
UsernamePasswordAuthenticationToken(username, password);
final Authentication authentication =
authenticationManager.authenticate(authRequest);
SecurityContextHolder.getContext().setAuthentication(authentication);
我们还可以选择使用onLoginSuccess()的TokenBasedRememberMeServices方法将身份验证结果存储在 remember-me cookie 中。
答案 1 :(得分:1)
您需要将AuthenticationProvider.authenticate()的结果放入SecurityContext(从SecurityContextHolder获得)。
另请注意AuthenticationSuccessEvent - 如果您的应用程序依赖此事件(某些Spring Security功能也可能使用它),您应该发布它(您可以通过自动装配获得默认的AuthenticationEventPublisher) 。使用ProviderManager包装身份验证提供程序可能很有用,它会使用给定的发布者自动发布事件。