使用Spring Security登录后如何做某事?
我有一个Spring Web应用程序,它使用Spring SAML和Spring Security来管理登录过程。 现在我需要在正确登录后执行一些任务。 特别是我必须在SecurityContext.getContext()对象中存储一些数据。
我从未使用过Spring Security / SAML,我不知道它是如何管理IdP的回报的。
代码中是否有任何地方通常可以在登录过程正确结束后放置代码?
我的意思是,我知道重定向页面的设置位置,但是我无法将自定义代码放在此重定向页面的Controller中,因为该页面被访问了一次以上,我需要在登录时只运行一次自定义代码。
最好的方法是实现SAMLUserDetailsService接口,它将自动存储您从Authentication对象中的loadUserBySAML方法返回的对象,您可以稍后从SecurityContext.getContext()查询该对象。 每次身份validation后都会调用一次该接口。 有关详细信息和示例,请参阅手册 。
另一种可能性是AuthenticationSuccessHandler 。 登录进程调用onAuthenticationSuccess方法,该方法可以访问Authentication对象,该对象将存储在SecurityContext.getContext()中。
只需创建自己的类来实现接口AuthenticationSuccessHandler (您还可以扩展一些现有的类,例如SimpleUrlAuthenticationSuccessHandler或AbstractAuthenticationTargetUrlRequestHandler )。 然后通过更改现有successRedirectHandler bean中的类将实现插入securityContext.xml 。
问题是, Authentication对象往往是不可变的 – 所以第一种方式可能更好。
您可以使用AuthenticationSuccessEvent。 只需注册一个实现ApplicationListener的bean。
@Component public class SomeSpringBean implements ApplicationListener { public onApplicationEvent(AuthenticationSuccessEvent event) { String userName = ((UserDetails) event.getAuthentication(). //do stuff } }
您需要注册AuthenticationEventPublisher。 看看这里: https : //gist.github.com/msarhan/10834401
如果您使用自定义身份validation提供程序,您也可以插入任何您想要的。
你在使用Spring的Java配置吗?
如果是这样,那么您可能在项目中有一个覆盖WebSecurityConfigurerAdapter的类。 扩展此类使您可以覆盖方法configure(HttpSecurity http)。
您可以使用提供的HttpSecurity构建器对象来配置很多东西,其中一个是身份validation成功处理程序。 或多或少,您可以创建一个简单的实现AuthenticationSuccessHandler的类(Spring已经为扩展构建了一些类以使其变得简单),您可以调用http.successHandler(yourSuccessHandler)将其注册到Spring Security。
实现该接口为您提供了将自定义代码放入onAuthenticationSuccess(…)方法的钩子。 我认为他们也有失败的一个。