เมื่อใช้ Spring Security วิธีที่เหมาะสมในการรับข้อมูลชื่อผู้ใช้ปัจจุบัน (เช่น SecurityContext) ในถั่วคืออะไร

ฉันมีเว็บแอพ Spring MVC ซึ่งใช้ Spring Security ฉันต้องการทราบชื่อผู้ใช้ของผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน ฉันใช้ข้อมูลโค้ดที่ระบุด้านล่าง นี่เป็นวิธีที่ยอมรับหรือไม่

ฉันไม่ชอบการเรียกใช้วิธีการคงที่ภายในตัวควบคุมนี้ - ที่เอาชนะวัตถุประสงค์ทั้งหมดของฤดูใบไม้ผลิ IMHO มีวิธีในการกำหนดค่าแอพเพื่อให้มี SecurityContext ปัจจุบันหรือการตรวจสอบความถูกต้องปัจจุบันถูกฉีดแทนหรือไม่?

  @RequestMapping(method = RequestMethod.GET)
  public ModelAndView showResults(final HttpServletRequest request...) {
    final String currentUser = SecurityContextHolder.getContext().getAuthentication().getName();
    ...
  }

หากคุณใช้Spring 3วิธีที่ง่ายที่สุดคือ:

 @RequestMapping(method = RequestMethod.GET)   
 public ModelAndView showResults(final HttpServletRequest request, Principal principal) {

     final String currentUser = principal.getName();

 }

มีการเปลี่ยนแปลงมากมายในโลกฤดูใบไม้ผลิตั้งแต่ตอบคำถามนี้ Spring ทำให้ผู้ใช้ปัจจุบันอยู่ในคอนโทรลเลอร์ได้ง่ายขึ้น สำหรับถั่วอื่น ๆ สปริงได้นำคำแนะนำของผู้เขียนและทำให้การฉีด 'SecurityContextHolder' ง่ายขึ้น รายละเอียดเพิ่มเติมอยู่ในความคิดเห็น

นี่คือทางออกที่ฉันได้ไปด้วย แทนที่จะใช้SecurityContextHolderในตัวควบคุมของฉันฉันต้องการฉีดสิ่งที่ใช้SecurityContextHolderภายใต้ประทุน ฉันไม่พบวิธีที่จะทำสิ่งนี้นอกจากใช้งานอินเทอร์เฟซของฉันเอง:

public interface SecurityContextFacade {

  SecurityContext getContext();

  void setContext(SecurityContext securityContext);

}

ตอนนี้ผู้ควบคุมของฉัน (หรืออะไรก็ตามที่ POJO) จะมีลักษณะเช่นนี้:

public class FooController {

  private final SecurityContextFacade securityContextFacade;

  public FooController(SecurityContextFacade securityContextFacade) {
    this.securityContextFacade = securityContextFacade;
  }

  public void doSomething(){
    SecurityContext context = securityContextFacade.getContext();
    // do something w/ context
  }

}

และเนื่องจากอินเทอร์เฟซเป็นจุดแยกการทดสอบจึงตรงไปตรงมา ในตัวอย่างนี้ฉันใช้ Mockito:

public class FooControllerTest {

  private FooController controller;
  private SecurityContextFacade mockSecurityContextFacade;
  private SecurityContext mockSecurityContext;

  @Before
  public void setUp() throws Exception {
    mockSecurityContextFacade = mock(SecurityContextFacade.class);
    mockSecurityContext = mock(SecurityContext.class);
    stub(mockSecurityContextFacade.getContext()).toReturn(mockSecurityContext);
    controller = new FooController(mockSecurityContextFacade);
  }

  @Test
  public void testDoSomething() {
    controller.doSomething();
    verify(mockSecurityContextFacade).getContext();
  }

}

การใช้งานเริ่มต้นของอินเทอร์เฟซมีลักษณะดังนี้:

public class SecurityContextHolderFacade implements SecurityContextFacade {

  public SecurityContext getContext() {
    return SecurityContextHolder.getContext();
  }

  public void setContext(SecurityContext securityContext) {
    SecurityContextHolder.setContext(securityContext);
  }

}

และในที่สุดการกำหนดค่าการผลิตฤดูใบไม้ผลิมีลักษณะเช่นนี้:

<bean id="myController" class="com.foo.FooController">
     ...
  <constructor-arg index="1">
    <bean class="com.foo.SecurityContextHolderFacade">
  </constructor-arg>
</bean>

ดูเหมือนว่าโง่ไปกว่านั้นที่สปริงซึ่งเป็นภาชนะฉีดของทุกสิ่งไม่ได้ให้วิธีการฉีดสิ่งที่คล้ายกัน ฉันเข้าใจว่าSecurityContextHolderสืบทอดมาจาก acegi แต่ถึงกระนั้น สิ่งคือพวกเขาอยู่ใกล้ - ถ้าSecurityContextHolderมีเพียงทะเยอทะยานที่จะได้รับSecurityContextHolderStrategyอินสแตนซ์พื้นฐาน(ซึ่งเป็นอินเทอร์เฟซ) คุณสามารถฉีดที่ ในความเป็นจริงฉันยังเปิดปัญหาจิรากับผลกระทบนั้น

สิ่งหนึ่งที่สุดท้าย - ฉันเพิ่งเปลี่ยนคำตอบที่ฉันเคยมีที่นี่มาก่อน ตรวจสอบประวัติถ้าคุณอยากรู้ แต่ในฐานะเพื่อนร่วมงานชี้ให้ฉันคำตอบก่อนหน้าของฉันจะไม่ทำงานในสภาพแวดล้อมแบบมัลติเธรด ที่อยู่ภายใต้SecurityContextHolderStrategyการใช้งานโดยSecurityContextHolderมีค่าเริ่มต้นเป็นตัวอย่างของThreadLocalSecurityContextHolderStrategyที่ร้านค้าSecurityContexts ThreadLocalใน ดังนั้นจึงไม่ใช่ความคิดที่ดีที่จะฉีดSecurityContextเข้าไปใน bean โดยตรงในเวลาเริ่มต้น - อาจจำเป็นต้องดึงข้อมูลจากThreadLocalแต่ละครั้งในสภาพแวดล้อมแบบมัลติเธรดดังนั้นจึงเรียกข้อมูลที่ถูกต้องได้

ฉันยอมรับว่าต้องสอบถาม SecurityContext สำหรับผู้ใช้ปัจจุบันเหม็นดูเหมือนจะเป็นวิธียกเลิกการจัดการปัญหานี้

ฉันเขียนคลาส "ตัวช่วย" แบบคงที่เพื่อจัดการกับปัญหานี้ มันสกปรกในการที่มันเป็นวิธีสากลและคงที่ แต่ฉันคิดวิธีนี้ถ้าเราเปลี่ยนแปลงสิ่งที่เกี่ยวข้องกับความปลอดภัยอย่างน้อยฉันก็ต้องเปลี่ยนรายละเอียดในที่เดียว:

/**
* Returns the domain User object for the currently logged in user, or null
* if no User is logged in.
* 
* @return User object for the currently logged in user, or null if no User
*         is logged in.
*/
public static User getCurrentUser() {

    Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()

    if (principal instanceof MyUserDetails) return ((MyUserDetails) principal).getUser();

    // principal object is either null or represents anonymous user -
    // neither of which our domain User object can represent - so return null
    return null;
}


/**
 * Utility method to determine if the current user is logged in /
 * authenticated.
 * <p>
 * Equivalent of calling:
 * <p>
 * <code>getCurrentUser() != null</code>
 * 
 * @return if user is logged in
 */
public static boolean isLoggedIn() {
    return getCurrentUser() != null;
}

เพื่อให้มันแสดงในหน้า JSP ของคุณคุณสามารถใช้ Spring Security Tag Lib:

http://static.springsource.org/spring-security/site/docs/3.0.x/reference/taglibs.html

ในการใช้แท็กใด ๆ คุณต้องมี taglib ความปลอดภัยที่ประกาศใน JSP ของคุณ:

<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

จากนั้นในหน้า jsp ทำสิ่งนี้:

<security:authorize access="isAuthenticated()">
    logged in as <security:authentication property="principal.username" /> 
</security:authorize>

<security:authorize access="! isAuthenticated()">
    not logged in
</security:authorize>

หมายเหตุ: ดังที่กล่าวไว้ในความคิดเห็นโดย @ SBerg413 คุณจะต้องเพิ่ม

ใช้การแสดงออก = "true"

ไปที่แท็ก "http" ในการกำหนดค่า security.xml เพื่อให้ใช้งานได้

หากคุณใช้ Spring Security ver> = 3.2 คุณสามารถใช้@AuthenticationPrincipalคำอธิบายประกอบได้:

@RequestMapping(method = RequestMethod.GET)
public ModelAndView showResults(@AuthenticationPrincipal CustomUser currentUser, HttpServletRequest request) {
    String currentUsername = currentUser.getUsername();
    // ...
}

ที่นี่CustomUserเป็นวัตถุที่กำหนดเองที่ใช้งานUserDetailsที่ถูกส่งคืนโดยที่กำหนดเองUserDetailsServiceที่ถูกส่งกลับโดยกำหนดเอง

สามารถดูข้อมูลเพิ่มเติมได้ในบท@AuthenticationPrincipalของเอกสารอ้างอิง Spring Security

ฉันได้รับผู้ใช้รับรองความถูกต้องโดย HttpServletRequest.getUserPrincipal ();

ตัวอย่าง:

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.servlet.support.RequestContext;

import foo.Form;

@Controller
@RequestMapping(value="/welcome")
public class IndexController {

    @RequestMapping(method=RequestMethod.GET)
    public String getCreateForm(Model model, HttpServletRequest request) {

        if(request.getUserPrincipal() != null) {
            String loginName = request.getUserPrincipal().getName();
            System.out.println("loginName : " + loginName );
        }

        model.addAttribute("form", new Form());
        return "welcome";
    }
}

ใน Spring 3+ คุณมีตัวเลือกดังต่อไปนี้

ตัวเลือกที่ 1 :

@RequestMapping(method = RequestMethod.GET)    
public String currentUserNameByPrincipal(Principal principal) {
    return principal.getName();
}

ตัวเลือก 2:

@RequestMapping(method = RequestMethod.GET)
public String currentUserNameByAuthentication(Authentication authentication) {
    return authentication.getName();
}

ตัวเลือก 3:

@RequestMapping(method = RequestMethod.GET)    
public String currentUserByHTTPRequest(HttpServletRequest request) {
    return request.getUserPrincipal().getName();

}

ตัวเลือก 4: แฟนซีอันหนึ่ง: ลองดูรายละเอียดเพิ่มเติม

public ModelAndView someRequestHandler(@ActiveUser User activeUser) {
  ...
}

ใช่สถิตโดยทั่วไปมักจะไม่ดี - โดยทั่วไป แต่ในกรณีนี้สแตติกเป็นรหัสที่ปลอดภัยที่สุดที่คุณสามารถเขียนได้ เนื่องจากบริบทความปลอดภัยจะเชื่อมโยงหลักการกับเธรดที่รันอยู่ในปัจจุบันรหัสที่ปลอดภัยที่สุดจะเข้าถึงสแตติกจากเธรดให้มากที่สุดโดยตรง การซ่อนการเข้าถึงด้านหลังคลาส wrapper ที่ถูกฉีดจะช่วยให้ผู้โจมตีมีคะแนนมากขึ้นในการโจมตี พวกเขาไม่ต้องการการเข้าถึงโค้ด (ซึ่งพวกเขาอาจมีการเปลี่ยนแปลงยากหากลงนาม jar) พวกเขาต้องการวิธีการแทนที่การกำหนดค่าซึ่งสามารถทำได้ในขณะรันไทม์หรือวาง XML ลงบน classpath แม้กระทั่งการใช้การฉีดหมายเหตุประกอบในรหัสที่ลงนามแล้วก็สามารถ overridable กับ XML ภายนอกได้ XML ดังกล่าวสามารถฉีดระบบที่กำลังรันด้วยหลักการโกง

ฉันจะทำสิ่งนี้:

request.getRemoteUser();

สำหรับแอป Spring MVC ล่าสุดที่ฉันเขียนฉันไม่ได้ฉีดผู้ถือ SecurityContext แต่ฉันมีตัวควบคุมพื้นฐานที่ฉันมีสองวิธีอรรถประโยชน์ที่เกี่ยวข้องกับสิ่งนี้ ... isAuthenticated () & getUsername () ภายในพวกเขาจะเรียกวิธีการคงที่คุณอธิบาย

อย่างน้อยก็เป็นเพียงครั้งเดียวถ้าคุณต้องการ refactor ในภายหลัง

คุณสามารถใช้ Spring AOP aproach ได้ ตัวอย่างเช่นหากคุณมีบริการบางอย่างที่จำเป็นต้องรู้หลักการปัจจุบัน คุณสามารถแนะนำคำอธิบายประกอบที่กำหนดเองเช่น @Principal ซึ่งระบุว่าบริการนี้ควรขึ้นอยู่กับเงินต้น

public class SomeService {
    private String principal;
    @Principal
    public setPrincipal(String principal){
        this.principal=principal;
    }
}

จากนั้นในคำแนะนำของคุณซึ่งฉันคิดว่าจำเป็นต้องขยาย MethodBeforeAdvice ตรวจสอบว่าบริการเฉพาะมีคำอธิบายประกอบ @Principal และฉีดชื่อหลักหรือตั้งเป็น 'ANONYMOUS' แทน

ปัญหาเดียวคือแม้ว่าหลังจากการรับรองความถูกต้องกับ Spring Security แล้วผู้ใช้ / หลัก bean ไม่มีอยู่ในคอนเทนเนอร์ดังนั้นการฉีดพึ่งพามันจะยาก ก่อนที่เราจะใช้สปริงซีเคียวริตี้เราจะสร้างเซสชั่นแบบ จำกัด ขอบเขตที่มีอาจารย์ใหญ่ในปัจจุบันให้ฉีดเข้าไปใน "AuthService" แล้วฉีดบริการนั้นลงในบริการอื่น ๆ ในแอปพลิเคชัน ดังนั้นบริการเหล่านั้นก็จะเรียก authService.getCurrentUser () เพื่อรับวัตถุ หากคุณมีสถานที่ในรหัสของคุณที่คุณได้รับการอ้างอิงถึงอาจารย์ใหญ่คนเดียวกันในเซสชั่นคุณสามารถตั้งเป็นสถานที่ให้บริการในถั่วขอบเขตเซสชั่นของคุณ

ลองสิ่งนี้

การพิสูจน์ตัวตนการพิสูจน์ตัวตน = SecurityContextHolder.getContext (). getAuthentication ();
String ชื่อผู้ใช้ = authentication.getName ();

ทางออกที่ดีที่สุดถ้าคุณใช้ Spring 3 และต้องการหลักการที่ได้รับการรับรองในคอนโทรลเลอร์ของคุณคือทำสิ่งนี้:

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;

    @Controller
    public class KnoteController {
        @RequestMapping(method = RequestMethod.GET)
        public java.lang.String list(Model uiModel, UsernamePasswordAuthenticationToken authToken) {

            if (authToken instanceof UsernamePasswordAuthenticationToken) {
                user = (User) authToken.getPrincipal();
            }
            ...

    }

ฉันกำลังใช้@AuthenticationPrincipalคำอธิบายประกอบใน@Controllerชั้นเรียนเช่นเดียวกับใน@ControllerAdvicerคำอธิบายประกอบ อดีต .:

@ControllerAdvice
public class ControllerAdvicer
{
    private static final Logger LOGGER = LoggerFactory.getLogger(ControllerAdvicer.class);


    @ModelAttribute("userActive")
    public UserActive currentUser(@AuthenticationPrincipal UserActive currentUser)
    {
        return currentUser;
    }
}

ในกรณีที่เป็นชั้นที่ผมใช้สำหรับการให้บริการผู้ใช้ลงทะเบียนและยื่นออกมาจากUserActive org.springframework.security.core.userdetails.Userสิ่งที่ต้องการ:

public class UserActive extends org.springframework.security.core.userdetails.User
{

    private final User user;

    public UserActive(User user)
    {
        super(user.getUsername(), user.getPasswordHash(), user.getGrantedAuthorities());
        this.user = user;
    }

     //More functions
}

ง่ายจริงๆ

กำหนดPrincipalว่าเป็นการพึ่งพาในวิธีการควบคุมของคุณและสปริงจะฉีดผู้ใช้ที่ได้รับการรับรองในปัจจุบันในวิธีการของคุณเมื่อมีการร้องขอ

ฉันต้องการแบ่งปันวิธีการสนับสนุนรายละเอียดผู้ใช้ในหน้า freemarker ทุกอย่างเรียบง่ายและทำงานได้อย่างสมบูรณ์แบบ!

คุณต้องทำการตรวจสอบสิทธิ์ซ้ำอีกครั้งdefault-target-url(หน้าหลังฟอร์มล็อกอิน) นี่คือวิธีการควบคุมของฉันสำหรับหน้านั้น:

@RequestMapping(value = "/monitoring", method = RequestMethod.GET)
public ModelAndView getMonitoringPage(Model model, final HttpServletRequest request) {
    showRequestLog("monitoring");


    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    String userName = authentication.getName();
    //create a new session
    HttpSession session = request.getSession(true);
    session.setAttribute("username", userName);

    return new ModelAndView(catalogPath + "monitoring");
}

และนี่คือรหัส ftl ของฉัน:

<@security.authorize ifAnyGranted="ROLE_ADMIN, ROLE_USER">
<p style="padding-right: 20px;">Logged in as ${username!"Anonymous" }</p>
</@security.authorize> 

และนั่นคือชื่อผู้ใช้จะปรากฏในทุกหน้าหลังจากได้รับอนุญาต