sam*_*ers 1 spring spring-security jsessionid spring-boot spring-session
spring security 如何在请求之间维护身份验证信息?
它使用任何类似于 jSessionId 的东西还是使用完全不同的机制。
此外,我看到AbstractSecurityInterceptor(我的意思是,它的任何实现)负责拦截传入的请求并验证请求是否已被授权使用Authentication.isAuthenticated(),然后根据条件验证请求或将身份验证请求发送到 AuthenticationManager执行。那么,换句话说,AbstractSecurityInterceptor 如何区分第一个请求和后续请求。
Spring Security 使用 aSecurityContextRepository来存储和检索SecurityContext当前安全会话的 。
默认实现是HttpSessionSecurityContextRepository利用javax.servlet.http.HttpSession来存储/检索SecurityContext.
底层 servlet 容器将获得HttpSession传入请求的正确信息,这通常是由于在 cookie 或请求参数中传递了会话标识符。对于 Spring Security,它并不重要,因为它因此被加载到底层 servlet 容器。
| 归档时间: |
|
| 查看次数: |
897 次 |
| 最近记录: |