Spring Security,更新SecurityContextHolder

时间:2019-04-18 14:54:07

标签: spring spring-security multi-tenant

我有多租户环境,每个租户都有一个具有独立架构的数据库。

在用户登录时,我加载了默认租户,并且一切正常。我创建了方法switchTenant,该方法应将当前承租人(默认为一)切换为选定的一。我有部分工作的解决方案,我将该信息保存在HttpSession中。一切正常,并且有一些副作用,例如:在tomcat重新启动时,用户需要重新登录,或者在应用程序关闭时,android用户会丢失会话。

试图寻找更好的解决方案,以在SecurityContext中存储当前租户信息来替换HttpSession。当然我失败了,这就是为什么我向你请人帮忙。

这是我要制作的相关代码:

TenantInterceptor (一切都很好)

...
@Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse res, Object handler) {
        String schema = SecurityUtils.getCurrentSchema().orElse("");
        if (schema.equals("")) {
            TenantContext.setCurrentTenant("public");
        } else {
            TenantContext.setCurrentTenant(schema);
        }
        return true;
    }
...

SecurityUtils帮助程序类(这里也一切正常)

...
public static Optional<String> getCurrentSchema() {
        SecurityContext securityContext = SecurityContextHolder.getContext();
        return Optional.ofNullable(securityContext.getAuthentication()).map(authentication -> {
            if (authentication.getPrincipal() instanceof TenantUser) {
                TenantUser springSecurityUser = (TenantUser) authentication.getPrincipal();
                return springSecurityUser.getCurrentSchema();
            }
            return null;
        });
    }
...

服务类(我需要对其进行修复)

...
public void switchTenant(Tenant tenant) {
        Optional<TenantDTO> tenantExist = this.findAllUserTenants().stream()
            .filter(t -> t.getName().equals(tenant.getName())).findFirst();
        if (tenantExist.isPresent()) {

            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            Authentication newAuth = null;
            if (auth.getClass() == UsernamePasswordAuthenticationToken.class) {
                TenantUser principal = (TenantUser) auth.getPrincipal();
                principal.setCurrentSchema(tenant.getSchema());
                newAuth = new UsernamePasswordAuthenticationToken(principal, auth.getCredentials(), auth.getAuthorities());
            }
            SecurityContextHolder.getContext().setAuthentication(newAuth);
...

TenantUser类 

public class TenantUser extends org.springframework.security.core.userdetails.User {

    private String userId;

    private String currentSchema;

    public TenantUser(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
    }
...

无论如何,这行代码是: SecurityContextHolder.getContext()。setAuthentication(newAuth); 总是让我获得旧的身份验证,而不是使用当前租户架构已更新的身份验证

感谢帮助。

1 个答案:

答案 0 :(得分:0)

方法不好。因为我使用jwt令牌进行身份验证,所以最好的方法是将当前的租户架构存储到令牌中。 在租户切换上,我确实使用其中的新当前架构刷新令牌并将其发送回客户端。

相关问题
最新问题