Spring Security kullanırken, bir çekirdekte geçerli kullanıcı adı (yani SecurityContext) bilgilerini almanın doğru yolu nedir?

Ben Bahar Güvenliği kullanan bir Bahar MVC web uygulaması var. Şu anda oturum açmış olan kullanıcının kullanıcı adını bilmek istiyorum. Aşağıda verilen kod snippet'ini kullanıyorum. Kabul edilen yol bu mu?

Bu denetleyicinin içindeki statik bir yönteme çağrı yapmaktan hoşlanmam - Spring, IMHO'nun tüm amacını bozar. Uygulamayı geçerli SecurityContext'i veya geçerli Kimlik Doğrulaması'nı enjekte edecek şekilde yapılandırmanın bir yolu var mı?

  @RequestMapping(method = RequestMethod.GET)
  public ModelAndView showResults(final HttpServletRequest request...) {
    final String currentUser = SecurityContextHolder.getContext().getAuthentication().getName();
    ...
  }

İlkbahar 3'ü kullanıyorsanız , en kolay yol:

 @RequestMapping(method = RequestMethod.GET)   
 public ModelAndView showResults(final HttpServletRequest request, Principal principal) {

     final String currentUser = principal.getName();

 }

Bu soru cevaplandığından beri Bahar dünyasında çok şey değişti. Spring, mevcut kullanıcıyı bir denetleyiciye almayı basitleştirdi. Diğer fasulye için Spring, yazarın önerilerini kabul etti ve 'SecurityContextHolder' enjeksiyonunu basitleştirdi. Daha fazla ayrıntı yorumlarda yer almaktadır.

Sonuçta bu benim çözümüm. SecurityContextHolderDenetleyicimde kullanmak yerine SecurityContextHolder, kaputun altında kullanan ancak o singleton benzeri sınıfı kodumdan soyutlayan bir şey enjekte etmek istiyorum . Bunu kendi arayüzümü yuvarlamak dışında bunu yapmanın bir yolunu bulamadım, şöyle:

public interface SecurityContextFacade {

  SecurityContext getContext();

  void setContext(SecurityContext securityContext);

}

Şimdi, denetleyicim (veya POJO ne olursa olsun) şöyle görünecektir:

public class FooController {

  private final SecurityContextFacade securityContextFacade;

  public FooController(SecurityContextFacade securityContextFacade) {
    this.securityContextFacade = securityContextFacade;
  }

  public void doSomething(){
    SecurityContext context = securityContextFacade.getContext();
    // do something w/ context
  }

}

Arayüzün ayrılma noktası olması nedeniyle, birim testi basittir. Bu örnekte Mockito kullanıyorum:

public class FooControllerTest {

  private FooController controller;
  private SecurityContextFacade mockSecurityContextFacade;
  private SecurityContext mockSecurityContext;

  @Before
  public void setUp() throws Exception {
    mockSecurityContextFacade = mock(SecurityContextFacade.class);
    mockSecurityContext = mock(SecurityContext.class);
    stub(mockSecurityContextFacade.getContext()).toReturn(mockSecurityContext);
    controller = new FooController(mockSecurityContextFacade);
  }

  @Test
  public void testDoSomething() {
    controller.doSomething();
    verify(mockSecurityContextFacade).getContext();
  }

}

Arayüzün varsayılan uygulaması şu şekildedir:

public class SecurityContextHolderFacade implements SecurityContextFacade {

  public SecurityContext getContext() {
    return SecurityContextHolder.getContext();
  }

  public void setContext(SecurityContext securityContext) {
    SecurityContextHolder.setContext(securityContext);
  }

}

Ve son olarak, üretim Baharı yapılandırması şöyle görünür:

<bean id="myController" class="com.foo.FooController">
     ...
  <constructor-arg index="1">
    <bean class="com.foo.SecurityContextHolderFacade">
  </constructor-arg>
</bean>

Her şeyin bağımlılık enjeksiyon kabı olan Spring'in benzer bir şey enjekte etmek için bir yol sağlamadığı biraz aptalca görünüyor. Anlıyorum SecurityContextHolder, acegi'den miras kaldı, ama yine de. Mesele şu ki, çok yakınlar - sadece SecurityContextHoldertemel SecurityContextHolderStrategyörneği (bir arayüz olan) almak için bir alıcı varsa , bunu enjekte edebilirsiniz. Aslında bu konuda bir Jira sorunu bile açtım .

Son bir şey daha önce burada verdiğim cevabı büyük ölçüde değiştirdim. Merak ediyorsanız geçmişi kontrol edin, ancak bir iş arkadaşınızın bana işaret ettiği gibi, önceki cevabım çok iş parçacıklı bir ortamda işe yaramayacaktı. Altta SecurityContextHolderStrategykullanılan SecurityContextHoldervarsayılan, bir örneği gereği, ThreadLocalSecurityContextHolderStrategymağazalar SecurityContexts a ThreadLocal. Bu nedenle, SecurityContextbaşlatma zamanında doğrudan bir fasülyeye enjekte etmek iyi bir fikir değildir - ThreadLocalçok iş parçacıklı bir ortamda her seferinde geri alınması gerekebilir , böylece doğru olanı alınır.

Geçerli kullanıcı kokuyor SecurityContext sorgulamak zorunda, bu sorunu ele Bahar çok yol gibi görünüyor kabul ediyorum.

Bu sorunla başa çıkmak için statik bir "yardımcı" sınıf yazdım; Bu küresel ve statik bir yöntem olduğu için kirli, ama Güvenlik ile ilgili herhangi bir şeyi değiştirirsek, en azından sadece bir yerde ayrıntıları değiştirmek zorundayım:

/**
* Returns the domain User object for the currently logged in user, or null
* if no User is logged in.
* 
* @return User object for the currently logged in user, or null if no User
*         is logged in.
*/
public static User getCurrentUser() {

    Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()

    if (principal instanceof MyUserDetails) return ((MyUserDetails) principal).getUser();

    // principal object is either null or represents anonymous user -
    // neither of which our domain User object can represent - so return null
    return null;
}


/**
 * Utility method to determine if the current user is logged in /
 * authenticated.
 * <p>
 * Equivalent of calling:
 * <p>
 * <code>getCurrentUser() != null</code>
 * 
 * @return if user is logged in
 */
public static boolean isLoggedIn() {
    return getCurrentUser() != null;
}

JSP sayfalarınızda görünmesini sağlamak için Spring Security Tag Lib'i kullanabilirsiniz:

http://static.springsource.org/spring-security/site/docs/3.0.x/reference/taglibs.html

Etiketlerden herhangi birini kullanmak için JSP'nizde güvenlik taglib'inin bildirilmiş olması gerekir:

<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

Sonra bir jsp sayfasında böyle bir şey yapın:

<security:authorize access="isAuthenticated()">
    logged in as <security:authentication property="principal.username" /> 
</security:authorize>

<security:authorize access="! isAuthenticated()">
    not logged in
</security:authorize>

NOT: @ SBerg413 tarafından yapılan yorumlarda belirtildiği gibi,

kullanım-ifadeler = "true"

Bunun için security.xml yapılandırmasındaki "http" etiketine gidin.

Spring Security ver> = 3.2 kullanıyorsanız @AuthenticationPrincipalek açıklamayı kullanabilirsiniz :

@RequestMapping(method = RequestMethod.GET)
public ModelAndView showResults(@AuthenticationPrincipal CustomUser currentUser, HttpServletRequest request) {
    String currentUsername = currentUser.getUsername();
    // ...
}

Burada, CustomUserbir özel UserDetailstarafından döndürülen uygulayan özel bir nesnedir UserDetailsService.

Daha fazla bilgi Spring Security başvuru belgelerinin @AuthenticationPrincipal bölümünde bulunabilir .

HttpServletRequest.getUserPrincipal () tarafından kimliği doğrulanmış kullanıcı olsun;

Misal:

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.servlet.support.RequestContext;

import foo.Form;

@Controller
@RequestMapping(value="/welcome")
public class IndexController {

    @RequestMapping(method=RequestMethod.GET)
    public String getCreateForm(Model model, HttpServletRequest request) {

        if(request.getUserPrincipal() != null) {
            String loginName = request.getUserPrincipal().getName();
            System.out.println("loginName : " + loginName );
        }

        model.addAttribute("form", new Form());
        return "welcome";
    }
}

İlkbahar 3+'de aşağıdaki seçenekleriniz vardır.

Seçenek 1 :

@RequestMapping(method = RequestMethod.GET)    
public String currentUserNameByPrincipal(Principal principal) {
    return principal.getName();
}

Seçenek 2 :

@RequestMapping(method = RequestMethod.GET)
public String currentUserNameByAuthentication(Authentication authentication) {
    return authentication.getName();
}

Seçenek 3:

@RequestMapping(method = RequestMethod.GET)    
public String currentUserByHTTPRequest(HttpServletRequest request) {
    return request.getUserPrincipal().getName();

}

Seçenek 4: Süslü olan: Daha fazla ayrıntı için buna göz atın

public ModelAndView someRequestHandler(@ActiveUser User activeUser) {
  ...
}

Evet, statikler genellikle kötüdür - genellikle, ancak bu durumda statik, yazabileceğiniz en güvenli koddur. Güvenlik bağlamı, bir Yöneticiyi şu anda çalışan iş parçacığıyla ilişkilendirdiğinden, en güvenli kod, iş parçacığından gelen statik değere mümkün olduğunca doğrudan erişir. Erişimi, enjekte edilen bir sarıcı sınıfın arkasına gizlemek, bir saldırgana daha fazla saldırı puanı sağlar. Koda erişmeleri gerekmeyecek (kavanoz imzalanırsa zor zamanlar değişecekti), sadece çalışma zamanında yapılabilecek veya bazı XML'i sınıfyoluna kaydırabilecek yapılandırmayı geçersiz kılmak için bir yola ihtiyaçları var. İmzalı kodda ek açıklama enjeksiyonu kullanmak bile harici XML ile geçersiz kılınabilir. Böyle bir XML, çalışan sistemi haydut bir müdürle enjekte edebilir.

Sadece bunu yapardım:

request.getRemoteUser();

Yazdığım son Bahar MVC uygulaması için, SecurityContext sahibini enjekte etmedim, ancak bununla ilgili iki yardımcı yöntemim olan bir temel denetleyicim var ... isAuthenticated () & getUsername (). Dahili olarak tarif ettiğiniz statik yöntem çağrısını yaparlar.

En azından o zaman daha sonra refactor gerekiyorsa sadece bir yerde.

Bahar AOP yaklaşımını kullanabilirsiniz. Örneğin, bazı hizmetleriniz varsa, geçerli anaparayı bilmesi gerekir. Bu Hizmetin asıl olarak bağımlı olması gerektiğini belirten özel açıklama (@Principal) sunabilirsiniz.

public class SomeService {
    private String principal;
    @Principal
    public setPrincipal(String principal){
        this.principal=principal;
    }
}

Daha sonra, MethodBeforeAdvice'i genişletmesi gerektiğini düşündüğünüz tavsiyenizde, belirli hizmetin @Principal ek açıklaması olduğunu kontrol edin ve Ana adı enjekte edin veya bunun yerine 'ANONYMOUS' olarak ayarlayın.

Tek sorun, Spring Security ile kimlik doğrulamasından sonra bile, kullanıcı / ana fasulyenin kapta mevcut olmamasıdır, bu nedenle bağımlılık enjekte etmek zor olacaktır. Spring Security kullanmadan önce mevcut Anapara sahip bir oturum kapsamlı fasulye oluşturduk, bunu bir "AuthService" içine enjekte ettikten sonra bu Hizmeti Uygulamadaki diğer hizmetlerin çoğuna enjekte edeceğiz. Böylece bu Hizmetler nesneyi almak için authService.getCurrentUser () yöntemini çağırır. Kodunuzda, oturumda aynı Anaparaya başvurduğunuz bir yer varsa, bunu oturum kapsamındaki fasulyenizde bir özellik olarak ayarlayabilirsiniz.

Bunu dene

Kimlik Doğrulama authentication = SecurityContextHolder.getContext (). GetAuthentication ();
String userName = authentication.getName ();

Spring 3 kullanıyorsanız ve kontrol cihazınızda kimliği doğrulanmış prensibe ihtiyacınız varsa en iyi çözüm böyle bir şey yapmaktır:

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;

    @Controller
    public class KnoteController {
        @RequestMapping(method = RequestMethod.GET)
        public java.lang.String list(Model uiModel, UsernamePasswordAuthenticationToken authToken) {

            if (authToken instanceof UsernamePasswordAuthenticationToken) {
                user = (User) authToken.getPrincipal();
            }
            ...

    }

Ben kullanıyorum @AuthenticationPrincipaliçinde ek açıklama @Controllersınıfları yanı sıra @ControllerAdviceraçıklamalı olanlar. Ör .:

@ControllerAdvice
public class ControllerAdvicer
{
    private static final Logger LOGGER = LoggerFactory.getLogger(ControllerAdvicer.class);


    @ModelAttribute("userActive")
    public UserActive currentUser(@AuthenticationPrincipal UserActive currentUser)
    {
        return currentUser;
    }
}

UserActiveKayıtlı kullanıcı hizmetleri için kullandığım sınıf nerede ve uzanıyor org.springframework.security.core.userdetails.User. Gibi bir şey:

public class UserActive extends org.springframework.security.core.userdetails.User
{

    private final User user;

    public UserActive(User user)
    {
        super(user.getUsername(), user.getPasswordHash(), user.getGrantedAuthorities());
        this.user = user;
    }

     //More functions
}

Gerçekten kolay.

PrincipalDenetleyici yönteminizde bir bağımlılık olarak tanımlayın ve yay, geçerli kimliği doğrulanmış kullanıcıyı çağırma yönteminize enjekte eder.

Freemarker sayfasında kullanıcı bilgilerini destekleme yöntemimi paylaşmak istiyorum. Her şey çok basit ve mükemmel çalışıyor!

Sadece Kimlik Doğrulama önkoşulunu yerleştirmelisiniz default-target-url(form- login'ten sonraki sayfa) Bu, bu sayfa için Denetleyici yöntemim:

@RequestMapping(value = "/monitoring", method = RequestMethod.GET)
public ModelAndView getMonitoringPage(Model model, final HttpServletRequest request) {
    showRequestLog("monitoring");


    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    String userName = authentication.getName();
    //create a new session
    HttpSession session = request.getSession(true);
    session.setAttribute("username", userName);

    return new ModelAndView(catalogPath + "monitoring");
}

Ve bu benim ftl kodum:

<@security.authorize ifAnyGranted="ROLE_ADMIN, ROLE_USER">
<p style="padding-right: 20px;">Logged in as ${username!"Anonymous" }</p>
</@security.authorize> 

Ve işte bu, kullanıcı adı yetkilendirmeden sonra her sayfada görünecektir.