我正在试图找出如何让Spring Security为此次调用返回匿名用户的UserDetails对象:
SecurityContextHolder.getContext().getAuthentication().getPrincipal()
我知道如果没有特殊配置,该调用将返回一个字符串而不是您使用自定义UserDetailsService实现创建的UserDetails对象,但我宁愿不经常检查“if(principal instanceof String)”到处都是。有没有办法使用Spring配置执行此操作 - 这种方式将匿名UserDetails对象存储在用户的会话上下文中,直到他们登录为止?表面上看,我想为每位客人提供一个独特的匿名用户详细信息,以便我可以跟踪它的个人使用情况。
我还注意到,我使用“PreAuthorize”注释保护的方法似乎并不尊重与匿名用户进行的hasRole检查。我确信这是我做错的一个症状。这是一个例子:
@RequestMapping(value = "/almanac/new", method = RequestMethod.GET)
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String newSetup(ModelMap model) {
这是我的spring安全上下文(除了封闭的bean节点外)。您可以注意到我尝试启用“匿名”
<debug />
<http pattern="/js/**" security="none" />
<http pattern="/css/**" security="none" />
<http pattern="/images/**" security="none" />
<http pattern="/loggedout.jsp" security="none"/>
<http name="httpSiteMap" use-expressions="true">
<custom-filter ref="almanacUsrPwdAuthProcFilter" before="FORM_LOGIN_FILTER"/>
<intercept-url pattern="/login*" access="isAnonymous()" />
<intercept-url pattern="/home/**" access="hasRole('ROLE_USER')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
<intercept-url pattern="/**" access="isAnonymous()" />
<form-login login-page="/login.jsp"
default-target-url="/home.htm"
always-use-default-target="false" />
<logout logout-success-url="/loggedout.jsp" delete-cookies="JSESSIONID"/>
<session-management invalid-session-url="/timeout.jsp">
<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</session-management>
<anonymous enabled="true" />
</http>
<global-method-security pre-post-annotations="enabled" secured-annotations="enabled" />
<authentication-manager alias="mainAuthMgr">
<authentication-provider ref="almanacAuthenticationProvider"/>
</authentication-manager>
基于您在此处看到的代码的任何其他建议都将受到欢迎。
答案 0 :(得分:3)
您还没有详细说明要从匿名用户的UserDetails
中提取哪些数据。如果您只想查看用户名,可以使用Authentication.getName()
。
在任何情况下,如果您需要更详细的安全上下文访问权限,最好使用自定义接口将应用程序代码与Spring Security类分离(请参阅my answer on using a security context accessor)。这样你应该只在一个地方检查主体的类型,而不是重复检查你想要访问用户数据的“无处不在”。
如果您绝对希望在身份验证对象中始终具有相同的主体类型,则无论用户是否是匿名的,您都必须通过命名空间禁用匿名身份验证并添加自定义筛选器来执行此任务,具体取决于现有的AnonymousAuthenticationFilter
。