那些遇到过的问题

Acegi Security:如何向匿名用户添加另一个GrantedAuthority到身份验证

mic*_*euz 4 anonymous roles spring-security

我为用户提供了带有访问密钥的特殊URL.与简单的匿名用户相比,通过此特殊网址访问公共页面的用户应该能够看到一些额外的数据.

我想基于请求中提供的参数给匿名用户一些额外的角色,所以我可以在我的模板中做这样的事情:

<@sec.authorize ifAnyGranted="ROLE_ADMIN, ROLE_USER, ROLE_INVITED_VISITOR">
...some additional stuff for invited user to see
</@sec.authorize>
Run Code Online (Sandbox Code Playgroud)

目前我正在实施Spring的OncePerRequestfilter:

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
    if (null != request.getParameter("accessKey")) {
        if(isValid(request.getParameter("accessKey"))) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            //how do i add additional roles to authenticated (potentially anonymous) user?
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

ala*_*irg 7

为什么不创建一个委托给原始的包装类,但添加了几个额外的GrantedAuthorities:

public class AuthenticationWrapper implements Authentication
{
   private Authentication original;
   private GrantedAuthority[] extraRoles;

   public AuthenticationWrapper( Authentication original, GrantedAuthority[] extraRoles )
   {
      this.original = original;
      this.extraRoles = extraRoles;
   }

   public GrantedAuthority[] getAuthorities()
   {
      GrantedAuthority[] originalRoles = original.getAuthorities();
      GrantedAuthority[]  roles = new GrantedAuthority[originalRoles.length + extraRoles.length];
      System.arraycopy( originalRoles, 0, roles, 0, originalRoles.length );
      System.arraycopy( extraRoles, 0, roles, originalRoles.length, extraRoles.length );
      return roles;
   }

   public String getName() { return original.getName(); }
   public Object getCredentials() { return original.getCredentials(); }
   public Object getDetails() { return original.getDetails(); }   
   public Object getPrincipal() { return original.getPrincipal(); }
   public boolean isAuthenticated() { return original.isAuthenticated(); }
   public void setAuthenticated( boolean isAuthenticated ) throws IllegalArgumentException
   {
      original.setAuthenticated( isAuthenticated );
   }  
}
Run Code Online (Sandbox Code Playgroud)

然后在您的过滤器中执行此操作:

Authentication auth = SecurityContextHolder.getContext().getAuthentication();
GrantedAuthority extraRoles = new GrantedAuthority[2];
extraRoles[0] = new GrantedAuthorityImpl( "Role X" );
extraRoles[1] = new GrantedAuthorityImpl( "Role Y" );
AuthenticationWrapper wrapper = new AuthenticationWrapper( auth, extraRoles );
SecurityContextHolder.getContext().setAuthentication( wrapper );
Run Code Online (Sandbox Code Playgroud)

现在,您的版本将使用额外角色替换身份验证.注意您可能必须处理尚未验证身份验证的情况,因此其getAuthorities()返回null.(包装器实现当前假定它总是从其包装的身份验证中获取非空数组)

归档时间:

查看次数:

10243 次

最近记录:

10 年,9 月 前
相关归档
Spring Security:如何排除某些资源? 39
SpringMVC Websockets使用Spring Security进行消息传递用户身份验证 9
防止未经授权的http请求重定向到/错误设置会话cookie - spring boot - spring security 7
如何禁用 Spring Boot 应用程序管理端口的安全性? 4
使用Spring Security默认登录名将用户置于HttpSession中并进行身份验证 4
如何强制Asp.Net Identity 2.0使用自定义角色而不是IdentityUserRole 3
Spring + H2DB-Web-Console:“此方法无法确定这些模式是否是 Spring MVC 模式。” 3
Spring Security两个网站共享同一个记住我的登录信息 2
匿名函数在Javascript中不起作用?(或者我可能只是没有获得匿名功能) 2
如果授权标头中缺少不记名令牌,请勿将 API 请求重定向到登录页面 0
难疑归档
如何使用JavaScript复制到剪贴板? 3131
在Bash中提取文件名和扩展名 1969
在GitHub上将图像添加到README.md 1675
查看未发布的Git提交 1649
何时使用struct? 1347
用于更新和删除的HTTP状态代码? 1264
生成0到9之间的随机整数 1224
有没有办法从APK文件中获取源代码? 1218
如何从Python字符串中修剪空格? 1103
如何检查对象是否在JavaScript中有密钥? 1047