那些遇到过的问题

Spring Security-何时清除SecurityContextHolder

Ozg*_*gur 0 java spring spring-security spring-boot

我有一个控制器,并且正在从该控制器返回用户信息:

@RequestMapping(method = RequestMethod.GET)
Object getUserInfo() {
    return SecurityContextHolder.getContext().getAuthentication().getPrincipal();
}
Run Code Online (Sandbox Code Playgroud)

我使用以下方法创建了基于自定义令牌的身份验证OncePerRequestFilter

package gbyf;

import gbyf.token.Token;
import gbyf.token.TokenRepository;
import gbyf.user.User;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class TokenAuthenticationFilter extends OncePerRequestFilter {

    private final TokenRepository tokenRepository;

    TokenAuthenticationFilter(TokenRepository tokenRepository) {
        this.tokenRepository = tokenRepository;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        String tokenString = request.getHeader("token");

        if(tokenString == null) {
            // user is not authenticated, continue to filter
            chain.doFilter(request, response);
            return;
        }

        Token token = tokenRepository.findTokenByTokenValue(tokenString);

        if(token == null) {
            System.out.println("=====doFilterInternal()==== token is null, not authenticated");
        } else {

            System.out.println("=====doFilterInternal()==== token is NOT null");
            User user = token.getUser();

            if(user != null) {
                Authentication auth = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
                SecurityContextHolder.getContext().setAuthentication(auth);
                System.out.println("=====doFilterInternal()==== authenticated user");
            }
        }

        super.doFilter(request, response, chain);
    }

}
Run Code Online (Sandbox Code Playgroud)

当我发送数据库中找到的正确令牌参数时,它会正确验证用户身份。但是对于另一个wrong令牌请求,服务器仍然发送旧的用户身份验证主体。请求完成后,SecurityContextHolder不应刷新身份验证详细信息。

可能是什么问题?

Lef*_*hik 5

您是否正在使用浏览器来调用API?如果是这样,那么我认为正在为您的用户创建会话并通过cookie进行跟踪。尝试使用无状态会话创建策略:

@Override
protected void configure(final HttpSecurity http) throws Exception {
    http
        .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1467 次

最近记录:

8 年,4 月 前
相关归档
Java正则表达式中\ w和\ b的Unicode等价物? 124
Java 8中findAny()和findFirst()之间的区别 67
使用JSch通过SSH运行命令 61
Java 8 LocalDate - 如何获取两个日期之间的所有日期? 52
使用Jackson JSON在Spring MVC中解析JSON 40
@SpringBootTest + @BeforeAll 10
如何让 JPArepository.save() 只插入并阻止更新? 9
运行 @SpringBootTest 类时连接未关闭并堆积 8
如何使用 env 特定配置创建 Spring Cloud Config Client? 4
如何使用 WebClient 执行同步请求? 4
难疑归档
是什么 !!(不是)JavaScript中的运算符? 2906
原子和非原子属性之间有什么区别? 1828
使用jQuery中止Ajax请求 1775
SCSS和Sass有什么区别? 1760
在JavaScript中生成两个数字之间的随机数 1635
如何在所有浏览器中控制网页缓存? 1474
为什么在重写Equals方法时重写GetHashCode很重要? 1371
Apache Camel究竟是什么? 1310
Android SDK安装找不到JDK 1185
Objective-C中的快捷方式用于连接NSStrings 1114