那些遇到过的问题

ReactiveSecurityContextHolder.getContext()为空,但@AuthenticationPrincipal有效

Dee*_*pak 1 java spring spring-security project-reactor spring-webflux

我一直在Spring Security + Webflux中使用ReactiveAuthenticationManager。它是经过自定义的,以返回一个实例UsernamePasswordAuthenticationToken,从该实例中我可以看出是调用时应接收的内容ReactiveSecurityContextHolder.getContext().map(ctx -> ctx.getAuthentication()).block()。据我所知,我无法通过两种方式访问​​身份验证上下文:

SecurityContextHolder.getContext().getAuthentication();
Run Code Online (Sandbox Code Playgroud)

要么 

ReactiveSecurityContextHolder.getContext().map(ctx -> ctx.getAuthentication()).block()
Run Code Online (Sandbox Code Playgroud)

尝试从控制器或组件访问这些文件将解决null。对于我是否真的要Authentication在自定义管理器中返回实例,我有些怀疑,好像我是:

@Override
public Mono<Authentication> authenticate(final Authentication authentication) {
    if (authentication instanceof PreAuthentication) {
        return Mono.just(authentication)
            .publishOn(Schedulers.parallel())
            .switchIfEmpty(Mono.defer(this::throwCredentialError))
            .cast(PreAuthentication.class)
            .flatMap(this::authenticatePayload)
            .publishOn(Schedulers.parallel())
            .onErrorResume(e -> throwCredentialError())
            .map(userDetails -> new AuthenticationToken(userDetails, userDetails.getAuthorities()));
    }

    return Mono.empty();
}
Run Code Online (Sandbox Code Playgroud)

PreAuthentication的实例在哪里扩展AbstractAuthenticationTokenAuthenticationTokenUsernamePasswordAuthenticationToken

有趣的是,尽管ReactiveSecurityContextHolder.getContext().map(ctx -> ctx.getAuthentication()).block()在控制器中不起作用,但我可以@AuthenticationPrincipal在控制器中成功地将带有注释的身份验证主体作为方法参数注入。

这似乎是一个配置问题,但我不知道在哪里。有人知道为什么我不能返回身份验证吗?

小智 8

由于您正在使用WebFlux,因此您将使用事件循环来处理请求。您不再像Tomcat那样使用每个请求线程模型。

身份验证按上下文存储。

使用Tomcat,当请求到达时,Spring将身份验证存储在中SecurityContextHolderSecurityContextHolder使用ThreadLocal变量存储身份验证。仅当您尝试从设置了身份验证对象ThreadLocal的同一线程中的对象中获取特定身份验证对象时,该身份验证对象才对您可见。这就是为什么您可以通过静态调用在控制器中获得身份验证的原因。ThreadLocal对象知道返回给您什么,因为它知道您的上下文-您的线程。

使用WebFlux,您可以仅使用1个线程来处理所有请求。像这样的静态调用将不再返回预期结果:

SecurityContextHolder.getContext().getAuthentication();

因为不再有使用ThreadLocal对象的方法。为您获取身份验证的唯一方法是在控制器的方法签名中要求身份验证,或者...

从正在ReactiveSecurityContextHolder.getContext()调用的方法返回反应链。

由于您要返回一连串的反应式运算符,因此Spring会对您的链进行订阅以便执行它。当Spring执行此操作时,它将为整个链提供安全上下文。因此,ReactiveSecurityContextHolder.getContext()该链中的每个调用都将返回预期的数据。

您可以在此处阅读有关Mono / Flux上下文的更多信息,因为它是Reactor特有的功能。

  • 您能否显示有关如何以被动方式设置安全上下文的示例? (3认同)

ahn*_*suk 5

我也有类似的问题。因此,我使用 JWT 令牌示例上传了 ReactiveSecurityContext 的 github。

https://github.com/heesuk-ahn/spring-webflux-jwt-auth-example

我希望它对你有帮助。

我们需要创建一个自定义的authentication filter. 如果该过滤器中的身份验证成功,则会将principal信息存储在ReactiveSecurityHolder. ReactiveSecurityHolder我们可以从控制器访问。

归档时间:

查看次数:

1227 次

最近记录:

6 年,3 月 前
相关归档
如何优化Scala中的for-understanding和循环? 131
Java泛型T vs Object 116
Java - 为什么没有基于返回类型的方法重载? 43
AspectJ表达式在切入点错误中提供正式的未绑定 19
无法自动装配ServletContext 19
@embeddable vs @entity用于映射集合 17
无法反序列化Spring Session Scoped bean 15
如何在我的Controller中验证(@Valid)之前检查安全访问(@Secured或@PreAuthorize)? 14
Spring注释@ModelAttribute和@Valid 9
在Spring Security Oauth2版本2.0.7.RELEASE中请求多个作用域 3
难疑归档
如何在JavaScript中创建字符串大写的第一个字母? 3565
如何按值对字典进行排序? 3424
在一行中初始化ArrayList 2626
显示两个修订版之间已更改的文件 2041
当键盘出现时 - 如何开始编辑时,如何让UITextField向上移动? 1674
如何一致地跨浏览器对齐复选框及其标签 1668
根据pandas中列的值从DataFrame中选择行 1649
在Node.js中编写文件 1538
获取实例的类名? 1303
performSelector可能导致泄漏,因为其选择器未知 1251