我正在将应用程序升级到 Spring Boot 3。我们使用自定义身份验证框架,在对用户进行身份验证后手动设置身份验证对象。
用户登录后,我们调用
SecurityContextHolder.getContext().setAuthentication(authentication);SecurityContextHolder.getContext().getAuthentication()SecurityContextHolder.getContext().getAuthentication()有人经历过类似的事情吗?这是一个 Vaadin 应用程序,如果它有所作为的话。
我在 spring 文档中找到了以下提示:
例如以下代码:
应替换为SecurityContextHolder.setContext(securityContext);SecurityContextHolder.setContext(securityContext); securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);
但是,这对我来说并不是真正有用,因为这是一个 Vaadin 应用程序,我自己不处理任何请求。
在 Spring Security 6 中,默认行为是 SecurityContextHolderFilter 只会从 SecurityContextRepository 读取 SecurityContext 并将其填充到 SecurityContextHolder 中。如果用户希望 SecurityContext 在请求之间持续存在,则现在必须使用 SecurityContextRepository 显式保存 SecurityContext。只需在必要时写入 SecurityContextRepository(即 HttpSession)即可消除歧义并提高性能。
听起来你应该像你提到的那样打电话给
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);VaadinServletRequest.getCurrent()VaadinServletResponse.getCurrent()实际上你只需要:
接下来添加到您的控制器类: 私有最终 SecurityContextRepository securityContextRepository = new HttpSessionSecurityContextRepository();
将三个元素添加到您的端点签名中: 安全上下文当前上下文, HttpServletRequest 请求,HttpServletResponse 响应
执行端点主体中的代码:
列出权限 = List.of(new SimpleGrantedAuthority(“ROLE_USER”), new SimpleGrantedAuthority(“ROLE_ADMIN”)); // 根据需要更改 UsernamePasswordAuthenticationToken 身份验证 = new UsernamePasswordAuthenticationToken(“用户名”, “Userpwd”, 权限); // 根据需要更改 currentContext.setAuthentication(身份验证); securityContextRepository.saveContext(currentContext, 请求, 响应);
之后一切就都正常了。