那些遇到过的问题

Spring Security - 没有密码的程序化登录

Agu*_*pez 21 spring-mvc spring-security

当用户使用Spring Security单击其电子邮件中的链接时,我正尝试执行自动登录.

我已经看到很多例子来执行程序化登录,如下所示:

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
try {
    Authentication auth = authenticationManager.authenticate(token);
    SecurityContextHolder.getContext().setAuthentication(auth);
    repository.saveContext(SecurityContextHolder.getContext(), request, response);
    rememberMeServices.loginSuccess(request, response, auth);
 ....
Run Code Online (Sandbox Code Playgroud)

我看到的问题是我没有原始密码,所以我无法创建UsernamePasswordAuthenticationToken.如果我没有明文密码(我有一个被编码的密码),还有其他任何登录用户的方法吗?

提前致谢.

Rob*_*nch 38

在允许从电子邮件中的链接登录方面,请注意您知道自己在做什么.SMTP不是一种安全协议,因此依赖拥有电子邮件作为身份验证形式的人通常是不好的.

如果您已经知道它们已通过身份验证,则无需使用AuthenticationManager.相反,您可以直接设置身份验证,如下所示:

Authentication authentication = new UsernamePasswordAuthenticationToken(user, null,
    AuthorityUtils.createAuthorityList("ROLE_USER"));
SecurityContextHolder.getContext().setAuthentication(authentication);
Run Code Online (Sandbox Code Playgroud)

如果您需要一个完整的示例,可以参考安全邮件应用程序中的SignupController,它是Spring Security 3.1入门(InfoQ视频演示)的基础.

  • 顺便说一句,如果通过电子邮件发送的链接进行身份验证不安全,那么几乎所有网站都不安全,因为几乎所有网站都使用电子邮件进行密码重置链接.我在这里错过了什么吗? (2认同)

归档时间:

查看次数:

16459 次

最近记录:

10 年,2 月 前
相关归档
Spring Controller:我可以在调用每个@RequestMapping方法之前调用一个方法吗? 19
默认情况下,Spring Boot在哪里存储视图? 19
Spring针对不同api端点的多种身份验证方法 12
使用Spring Security和JavaConfig进行身份验证时出现PartialResultException 9
Spring MVC 3.0:String是@PathVariable的首选类型吗? 6
Spring web security 只限制单页 5
从Jar存档中将JavaScript作为静态资源返回 4
在 Spring MVC 单元测试中模拟匿名身份验证 3
Spring Security 4和PrimeFaces 5 AJAX请求处理 2
线程:如何绕过<intercept-url pattern ="/ trusted/**" 1
难疑归档
如果__name__ =="__ main__":怎么办? 5545
了解切片表示法 3024
可以(a == 1 && a == 2 && a == 3)评估为真吗? 2438
如何使用CSS垂直居中文本? 2190
JavaScript中的变量范围是什么? 1952
2048游戏的最佳算法是什么? 1893
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
如何在Android应用程序中的活动之间传递数据? 1293
SQL仅选择列上具有最大值的行 1142
查找包含具有指定名称的列的所有表 - MS SQL Server 1090