大佬教程收集整理的这篇文章主要介绍了java – 具有默认系统身份验证/用户的SecurityContext,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
在我的spring应用程序中,我希望SecurityContext始终拥有身份验证.如果它不是常规的UsernamepasswordAuthenticationToken,则它将是描述“系统用户”的PreAuthenticatedAuthenticationToken.这具有需要用户的不同系统功能的原因.如果没有用户上下文,为了避免特殊处理,我只想添加系统上下文.恕我直言,这也与单一责任原则有关.
为此,我可以简单地实现自己的SecurityContextHolderStrategy,并使用SecurityContextHolder.setStrategyName(MyStrategyClassName)将其设置为SecurityContextHolder;
现在来问题:
默认的SecurityContextHolderStrategy是ThreadLocalSecurityContextHolderStrategy.我很满意这个策略及其运作方式.我唯一要改变的是getContext()方法.
public SecurityContext getContext() {
SecurityContext ctx = COntexT_HOLDER.get();
if (ctx == null) {
ctx = createEmptyContext();
COntexT_HOLDER.set(ctX);
}
return ctx;
}
至
public SecurityContext getContext() {
SecurityContext ctx = COntexT_HOLDER.get();
if (ctx == null) {
ctx = createEmptyContext();
Authentication authentication = new PreAuthenticatedAuthenticationToken("system",null);
authentication.setAuthenticated(true);
ctx.setAuthentication(authentication);
COntexT_HOLDER.set(ctX);
}
return ctx;
}
这是不可能的,因为ThreadLocalSecurityContextHolderStrategy类不是公共的.当然,我可以简单地将ThreadLocalSecurityContextHolderStrategy的代码粘贴到我自己的SecurityContextHolderStrategy中,并按照我想要的方式实现getContext()方法.但这给了我一种感觉,因为我可能走错了路.
我如何实现“系统用户”身份验证作为新SecurityContext的默认身份验证?
更新
我的上述方法显然不是解决方案,因为它极具侵入性,会产生冗余代码,需要在Web过滤器链中进行特殊处理.但它应该让我理解我的目标.
我正在寻找一种解决方案,它尽可能地与原生弹簧安全实现无缝结合.
我的问题是我对入侵方法非常关注.这怎么能很好地解决?我无法想象我是第一个有此要求的人.或者整个概念完全错了?
>主系统线程.
>执行计划任务. (可根据用例使用MODE_INHERITABLETHREADLOCAL配置解决,更多详细信息请参见下文.)
解决方案1.
这仍然是主系统线程的问题.只需在系统启动时设置上下文即可轻松处理.另外,我将SecurityContextHolder配置为使用InheritableThreadLocalSecurityContextHolderStrategy,以便所有子线程都将继承SecurityContext.每次应用程序上下文刷新时,我们都会进行此设置.这允许在运行安全上下文相关测试时使用@DirtiesContext.
@Component
public class SecurityContextConfiguration {
@EventListener
public void setupSecurityContext(ContextrefreshedEvent event) {
SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
SecurityContextHolder.getContext().setAuthentication(new SystemAuthentication());
}
}
解决方案2.
我已经使用MODE_INHERITABLETHREADLOCAL配置了SecurityContextHolder.预定的线程将继承其父级Securitycontext.在我的用例中,这不是必需的,因为这意味着以下内容:
如果计划任务由用户操作初始化,则它将在用户SecurityContext下运行.由于我不想在系统重启时松开计划任务,我会坚持下去.这将导致与用户SecurityContext初始化之前相同的任务将在重新启动时使用系统SecurityContext进行初始化.这会产生不一致.因此我也配置了我的调度程序.
我只是将@scheduled注释配置为由DelegaTingSecurityContextscheduledexecutorservice执行,允许我设置SecurityContext.
@Enablescheduling
@Configuration
public class SystemAwareschedulerConfiguration implements schedulingConfigurer {
@Override
public void configureTasks(scheduledTaskRegistrar taskRegistrar) {
taskRegistrar.setscheduler(taskExecutor());
}
@Bean
public scheduledexecutorservice taskExecutor() {
scheduledexecutorservice delegateExecutor = Executors.newSingleThreadscheduledExecutor();
SecurityContext schedulerContext = createschedulerSecurityContext();
return new DelegaTingSecurityContextscheduledexecutorservice(delegateExecutor,schedulerContext);
}
private SecurityContext createschedulerSecurityContext() {
SecurityContext securityContext = SecurityContextHolder.createEmptyContext();
securityContext.setAuthentication(new SystemAuthentication());
return securityContext;
}
}
以上是大佬教程为你收集整理的java – 具有默认系统身份验证/用户的SecurityContext全部内容,希望文章能够帮你解决java – 具有默认系统身份验证/用户的SecurityContext所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。