spring-security：创建没有HTTP请求的会话？

Question

在Spring Security框架内是否可以创建没有关联HTTP请求的会话？我正在开发一个在Tomcat上部署的应用程序，但用户通过持久的SIP连接访问它。到目前为止，我已经编写了自己的会话管理代码，但想知道我是否可以将其委托给Spring Security。

Apache Shiro为其会话实现提供了“异构客户端访问”，允许任何类型的客户端访问和操作我正在寻找的会话。

Answer 1

我很确定你想要什么是可能的。但是我不确定它会有多容易。

请记住，我对Java中的SIP没有任何经验。但是我已经多次扩展了Spring Security。您需要采取以下一般步骤才能使其正常运行：

• 定义并配置您自己的安全链（see the Security Filter Chain reference docs）。
• 创建自定义SecurityContextRepository并将其链接到SecurityContextPersistenceFilter。
• 您可能无法使用多个过滤器，因为它们需要HttpServletRequest（SecurityContextHolderAwareRequestFilter，RememberMeAuthenticationFilter），因此您可能需要实现自己的过滤器。