Як отримати об’єкт сеансу навесні?

88

Я відносно новачок у безпеці Spring та Spring.

Я намагався написати програму, де мені потрібно було автентифікувати користувача на кінці сервера, використовуючи Spring security,

Я придумав наступне:

public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider{
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
                    throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
    }
}

Моя справа полягає в тому, що коли аутентифікація користувача відбувається, мені потрібно розмістити такий атрибут, як:

session.setAttribute("userObject", myUserObject);

myUserObject - це об'єкт певного класу, до якого я можу отримати доступ по всьому коду сервера за допомогою декількох запитів користувачів.

spring  spring-mvc  spring-security 
Сальвін Френсіс
джерело

Відповіді:

147

Ваш друг тут org.springframework.web.context.request.RequestContextHolder

// example usage
public static HttpSession session() {
    ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
    return attr.getRequest().getSession(true); // true == allow create
}

Він буде заповнений стандартним сервілетом диспетчеризації mvc spring, але якщо ви використовуєте інший веб-фреймворк, ви маєте додати його org.springframework.web.filter.RequestContextFilterяк фільтр web.xmlдля управління власником.

EDIT : просто як побічне питання, що ви насправді намагаєтесь зробити, я не впевнений, що вам потрібен доступ до методу HttpSessionin . Spring Security в будь-який спосіб помістить об’єкт UserDetails у сеанс. Його можна отримати, отримавши доступ до :retieveUserUserDetailsServiceSecurityContextHolder

public static UserDetails currentUserDetails(){
    SecurityContext securityContext = SecurityContextHolder.getContext();
    Authentication authentication = securityContext.getAuthentication();
    if (authentication != null) {
        Object principal = authentication.getPrincipal();
        return principal instanceof UserDetails ? (UserDetails) principal : null;
    }
    return null;
}
Гарет Девіс
джерело
1
@ перший пункт: Я спробував використати RequestContextHolder, це дало мені помилку: Запиту, пов'язаного з потоками, не знайдено: Ви маєте на увазі ... використовуйте RequestContextListener або RequestContextFilter, щоб виставити поточний запит. Я не пробував фільтри, я думаю, спробую це, і дайте вам знати, якщо це працює. @ друга точка: насправді це власний об'єкт, отже, я не віддав перевагу UserDetails, якщо це можливо, бачу інше моє запитання на подібну тему: stackoverflow.com/questions/1629273/…
Сальвін Френсіс
2
якщо ви не використовуєте диспетчерський сервлет, вам потрібно налаштувати: RequestContextFilter
Gareth Davis
1
вибачте за мою помилку ... адаптував код з мого власного проекту, який використовує getRequest, відповідь оновлена
Gareth Davis
1
ні, це виглядає правильно ... спробуйте зупинити свій код у налагоджувачі та перевірити, чи є RequestContextFilter у стеці викликів
Гарет Девіс,
1
Я виявив, що RequestContextFilter не працює для мене, тоді як RequestContextListener<listener><listener-class>org.springframework.web.context.request.RequestContextListener</listener-class></listener>
Джош
33

Оскільки ви використовуєте Spring, дотримуйтесь Spring, не рубайте його самі, як інші пости.

У весняному посібнику сказано:

Ви не повинні взаємодіяти безпосередньо з HttpSession в цілях безпеки. Для цього просто немає виправдання - замість цього завжди використовуйте SecurityContextHolder.

Рекомендована найкраща практика доступу до сесії:

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}

Ключовим тут є те, що Spring та Spring Security роблять для вас усілякі чудові речі, такі як Session Fixation Prevention. Ці речі передбачають, що ви використовуєте фреймворк Spring, як він був розроблений для використання. Отже, у своєму сервлеті зробіть його зрозумілим для контексту та отримайте доступ до сеансу, як у наведеному вище прикладі.

Якщо вам просто потрібно сховати деякі дані в обсязі сеансу, спробуйте створити деякий бін із масштабом сесії, як у цьому прикладі, і дозвольте autowire робити свою магію. :)

Джозеф Похоть
джерело
5

я зробив власні утили. це зручно. :)

package samples.utils;

import java.util.Arrays;
import java.util.Collection;
import java.util.Locale;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import javax.sql.DataSource;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.NoSuchBeanDefinitionException;
import org.springframework.beans.factory.NoUniqueBeanDefinitionException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationEventPublisher;
import org.springframework.context.MessageSource;
import org.springframework.core.convert.ConversionService;
import org.springframework.core.io.ResourceLoader;
import org.springframework.core.io.support.ResourcePatternResolver;
import org.springframework.ui.context.Theme;
import org.springframework.util.ClassUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.LocaleResolver;
import org.springframework.web.servlet.ThemeResolver;
import org.springframework.web.servlet.support.RequestContextUtils;


/**
 * SpringMVC通用工具
 * 
 * @author 应卓(yingzhor@gmail.com)
 *
 */
public final class WebContextHolder {

    private static final Logger LOGGER = LoggerFactory.getLogger(WebContextHolder.class);

    private static WebContextHolder INSTANCE = new WebContextHolder();

    public WebContextHolder get() {
        return INSTANCE;
    }

    private WebContextHolder() {
        super();
    }

    // --------------------------------------------------------------------------------------------------------------

    public HttpServletRequest getRequest() {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        return attributes.getRequest();
    }

    public HttpSession getSession() {
        return getSession(true);
    }

    public HttpSession getSession(boolean create) {
        return getRequest().getSession(create);
    }

    public String getSessionId() {
        return getSession().getId();
    }

    public ServletContext getServletContext() {
        return getSession().getServletContext();    // servlet2.3
    }

    public Locale getLocale() {
        return RequestContextUtils.getLocale(getRequest());
    }

    public Theme getTheme() {
        return RequestContextUtils.getTheme(getRequest());
    }

    public ApplicationContext getApplicationContext() {
        return WebApplicationContextUtils.getWebApplicationContext(getServletContext());
    }

    public ApplicationEventPublisher getApplicationEventPublisher() {
        return (ApplicationEventPublisher) getApplicationContext();
    }

    public LocaleResolver getLocaleResolver() {
        return RequestContextUtils.getLocaleResolver(getRequest());
    }

    public ThemeResolver getThemeResolver() {
        return RequestContextUtils.getThemeResolver(getRequest());
    }

    public ResourceLoader getResourceLoader() {
        return (ResourceLoader) getApplicationContext();
    }

    public ResourcePatternResolver getResourcePatternResolver() {
        return (ResourcePatternResolver) getApplicationContext();
    }

    public MessageSource getMessageSource() {
        return (MessageSource) getApplicationContext();
    }

    public ConversionService getConversionService() {
        return getBeanFromApplicationContext(ConversionService.class);
    }

    public DataSource getDataSource() {
        return getBeanFromApplicationContext(DataSource.class);
    }

    public Collection<String> getActiveProfiles() {
        return Arrays.asList(getApplicationContext().getEnvironment().getActiveProfiles());
    }

    public ClassLoader getBeanClassLoader() {
        return ClassUtils.getDefaultClassLoader();
    }

    private <T> T getBeanFromApplicationContext(Class<T> requiredType) {
        try {
            return getApplicationContext().getBean(requiredType);
        } catch (NoUniqueBeanDefinitionException e) {
            LOGGER.error(e.getMessage(), e);
            throw e;
        } catch (NoSuchBeanDefinitionException e) {
            LOGGER.warn(e.getMessage());
            return null;
        }
    }

}
Чжо ІН
джерело
4

Дійсно, ви можете отримати доступ до інформації із сеансу, навіть коли сеанс руйнується на HttpSessionLisener, виконавши: 

public void sessionDestroyed(HttpSessionEvent hse) {
    SecurityContextImpl sci = (SecurityContextImpl) hse.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
    // be sure to check is not null since for users who just get into the home page but never get authenticated it will be
    if (sci != null) {
        UserDetails cud = (UserDetails) sci.getAuthentication().getPrincipal();
        // do whatever you need here with the UserDetails
    }
 }

або ви також можете отримати доступ до інформації в будь-якому місці, де є доступний об'єкт HttpSession, наприклад:

SecurityContextImpl sci = (SecurityContextImpl) session().getAttribute("SPRING_SECURITY_CONTEXT");

останнє припускаючи, що у вас є щось на зразок:

HttpSession sesssion = ...; // can come from request.getSession(false);
ОскарG
джерело
3

Я намагаюся з наступним кодом і працюю чудово 

    import org.springframework.security.core.Authentication;
    import org.springframework.security.core.context.SecurityContextHolder;
    import org.springframework.stereotype.Controller;
    import org.springframework.ui.ModelMap;
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RequestMethod;

    /**
     * Created by jaime on 14/01/15.
     */

    @Controller
    public class obteinUserSession {
        @RequestMapping(value = "/loginds", method = RequestMethod.GET)
        public String UserSession(ModelMap modelMap) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            String name = auth.getName();
            modelMap.addAttribute("username", name);
            return "hellos " + name;
        }
jaimeRambo
джерело
4
Будь ласка, додайте пояснення до свого коду. Тут просто кидання коду чи посилання на питання когось насправді не є відповіддю.
Ремі
1

Якщо все, що вам потрібно, це деталі користувача, для Spring Version 4.x ви можете використовувати @AuthenticationPrincipalі @EnableWebSecurityмітку, надану Spring, як показано нижче.

Клас конфігурації безпеки:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   ...
}

Метод контролера:

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal User user) {
    ...
}
пранджал такюр
джерело
1

У моєму сценарії я ввів HttpSession у клас CustomAuthenticationProvider, як це

public class CustomAuthenticationProvider extends  AbstractUserDetailsAuthenticationProvider{

    @Autowired 
    private HttpSession httpSession;

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
             throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception 
if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
        httpSession.setAttribute("userObject", myUserObject);
    }
}
Гопі
джерело
0 
ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
attr.getSessionId();
Ебрагім Х.
джерело
5
Не могли б ви додати додаткову інформацію до своєї відповіді про те, як це вирішує проблему, порівняно з іншими існуючими відповідями?
slfan
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.