[英]SecurityContext with default System authentication/user
在我的spring应用程序中,我希望SecurityContext始终拥有Authentication 。 如果它不是常规的UsernamePasswordAuthenticationToken ,则它将是描述“系统用户”的PreAuthenticatedAuthenticationToken 。 这具有需要用户的不同系统功能的原因。 如果没有用户上下文,为了避免特殊处理,我只想添加系统上下文。 恕我直言,这也与单一责任原则有关。
为此,我可以简单地实现自己的SecurityContextHolderStrategy并使用SecurityContextHolder.setStrategyName(MyStrategyClassName);将其设置为SecurityContextHolder SecurityContextHolder.setStrategyName(MyStrategyClassName);
现在来问题:
默认的SecurityContextHolderStrategy是ThreadLocalSecurityContextHolderStrategy 。 我很满意这个策略及其运作方式。 我唯一要改变的是getContext()方法。
public SecurityContext getContext() {
SecurityContext ctx = CONTEXT_HOLDER.get();
if (ctx == null) {
ctx = createEmptyContext();
CONTEXT_HOLDER.set(ctx);
}
return ctx;
}
至
public SecurityContext getContext() {
SecurityContext ctx = CONTEXT_HOLDER.get();
if (ctx == null) {
ctx = createEmptyContext();
Authentication authentication = new PreAuthenticatedAuthenticationToken("system", null);
authentication.setAuthenticated(true);
ctx.setAuthentication(authentication);
CONTEXT_HOLDER.set(ctx);
}
return ctx;
}
这是不可能的,因为ThreadLocalSecurityContextHolderStrategy类是不public 。 当然,我可以简单地将ThreadLocalSecurityContextHolderStrategy的代码粘贴到我自己的SecurityContextHolderStrategy并按照我想要的方式实现getContext()方法。 但这给了我一种感觉,因为我可能走错了路。
我如何实现“系统用户” Authentication作为新SecurityContext默认Authentication ?
更新
我的上述方法显然不是解决方案,因为它极具侵入性,会产生冗余代码,需要在Web过滤器链中进行特殊处理。 但它应该让我理解我的目标。 我正在寻找一种解决方案,它尽可能地与原生弹簧安全实现无缝结合。 我的问题是我对入侵方法非常关注。 这怎么能很好地解决? 我无法想象我是第一个有此要求的人。 或者整个概念完全错了?
如果得到以下解决方案,这是非常光滑,不会碰撞或干扰任何事情。 一般来说,我有两种情况,我将有一个null身份验证:
MODE_INHERITABLETHREADLOCAL配置解决,更多详细信息请参见下文。) 解决方案1。
这仍然是主系统线程的问题。 只需在系统启动时设置上下文即可轻松处理。 另外,我将SecurityContextHolder配置为使用InheritableThreadLocalSecurityContextHolderStrategy以便所有子线程都将继承SecurityContext 。 每次应用程序上下文刷新时,我们都会进行此设置。 这允许在运行安全上下文相关测试时使用@DirtiesContext 。
@Component
public class SecurityContextConfiguration {
@EventListener
public void setupSecurityContext(ContextRefreshedEvent event) {
SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL);
SecurityContextHolder.getContext().setAuthentication(new SystemAuthentication());
}
}
解决方案2。
我已经使用MODE_INHERITABLETHREADLOCAL配置了SecurityContextHolder 。 预定的线程将继承其父级Securitycontext 。 在我的用例中,这不是必需的,因为这意味着以下内容:如果计划任务被初始化为用户操作,则它将在用户SecurityContext下运行。 由于我不想在系统重启时松开计划任务,我会坚持下去。 这将导致与用户SecurityContext初始化之前相同的任务将在重新启动时使用系统SecurityContext进行初始化。 这会产生不一致。 因此我也配置了我的调度程序。
我只是将@Scheduled注释配置为由DelegatingSecurityContextScheduledExecutorService执行,允许我设置SecurityContext 。
@EnableScheduling
@Configuration
public class SystemAwareSchedulerConfiguration implements SchedulingConfigurer {
@Override
public void configureTasks(ScheduledTaskRegistrar taskRegistrar) {
taskRegistrar.setScheduler(taskExecutor());
}
@Bean
public ScheduledExecutorService taskExecutor() {
ScheduledExecutorService delegateExecutor = Executors.newSingleThreadScheduledExecutor();
SecurityContext schedulerContext = createSchedulerSecurityContext();
return new DelegatingSecurityContextScheduledExecutorService(delegateExecutor, schedulerContext);
}
private SecurityContext createSchedulerSecurityContext() {
SecurityContext securityContext = SecurityContextHolder.createEmptyContext();
securityContext.setAuthentication(new SystemAuthentication());
return securityContext;
}
}
有了这两个配置,如果线程未被Web容器初始化,我将始终拥有一个SystemUser上下文。
在createEmptyContext()创建填充的上下文听起来不对:o)
正如这里所说,“一旦请求被认证, 身份验证通常将存储在由SecurityContextHolder管理的线程本地SecurityContext中,由正在使用的身份验证机制 。”,我宁愿扩展UsernamePasswordAuthenticationFilter并覆盖attemptAuthentication如果用户名密码验证失败,请设置PreAuthenticatedAuthenticationToken 。
编辑
我认为对于系统内部任务,它取决于它们执行的方式。 对于Executor ,有一个示例设置上下文,如上所述在运行这些执行的线程中:
@Bean
public Executor taskExecutor() {
ScheduledExecutorService delegateExecutor = Executors.newSingleThreadScheduledExecutor();
SecurityContext schedulerContext = createSchedulerSecurityContext();
return new DelegatingSecurityContextScheduledExecutorService(delegateExecutor, schedulerContext);
}
private SecurityContext createSchedulerSecurityContext() {
SecurityContext context = SecurityContextHolder.createEmptyContext();
Authentication authentication = new PreAuthenticatedAuthenticationToken("system", null);
authentication.setAuthenticated(true);
context.setAuthentication(authentication);
return context;
}
创建此bean的@Configuration实现了SchedulingConfigurer 。
在 swagger 的 SecurityContext 中找不到身份验证 object
[英]An Authentication object was not found in the SecurityContext on swagger
使用SecurityContext的REST Web服务的身份验证方法
[英]Authentication method for REST Web Service using SecurityContext
在自定义身份验证实现中将密码存储在SecurityContext中是否安全?
[英]Is it safe to store a password in the SecurityContext in a custom Authentication implementation?
Spring Security:保存的 SecurityContext 获得了 Null 身份验证
[英]Spring Security: saved SecurityContext got a Null authentication
Spring SecurityContext 在错误页面上返回 null 身份验证
[英]Spring SecurityContext returning null authentication on error pages
@Scheduled 触发时,在 SecurityContext 中找不到身份验证 object?
[英]An Authentication object was not found in the SecurityContext when @Scheduled triggered?
在REST服务器的SecurityContext中找不到Authentication对象
[英]An Authentication object was not found in the SecurityContext in a REST Server
使用@secured方法时,“在SecurityContext中找不到身份验证对象”
[英]“An Authentication object was not found in the SecurityContext” while using @secured method
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.