Comment stocker des informations personnalisées dans SecurityContext de printemps-sécurité?

Dans mon application j'utilise l'authentification LDAP. Mais je suis également 2 des services à distance qui nécessite une authentification via la méthode login(nom d'utilisateur, mot de passe). La méthode retourne un jeton de sécurité qui me rend capable d'invoquer un autre des méthodes, c'est à dire je dois passer jeton de sécurité pour les méthodes du service en tant que premier argument.

J'aimerais donc obtenir ces jetons de sécurité immédiatement après la connexion réussie, à l'aide de LDAP et de les stocker dans SecurityContext. J'ai essayé d'utiliser authentification-succès-gestionnaire-ref de form-login élément. En utilisant le gestionnaire d'-je remplacer Authentification objet dans le SecurityContext personnalisé AuthenticationToken qui détient non seulement le mot de passe mais également des jetons de sécurité. Mais dans ce cas j'ai une exception qui n'fournisseur d'authentification prend en charge cette catégorie de jeton.
Je sais qu'il est également possible de stocker des jetons dans la session HTTP, mais dans ce cas je passe de session pour objet de service, donc je voudrais stocker les jetons dans SecurityContext.

Quelle est la meilleure approche pour gérer les service d'émission de jeton de sécurité?

InformationsquelleAutor viator | 2010-07-20
  1. 11

    J'utilise souvent le Authentication.getDetails() objet pour stocker des informations supplémentaires qui peuvent ne pas être directement lié à l'utilisateur par dire. Ainsi, vous pouvez stocker n'importe quel objet que vous voulez dans ce domaine (une table de hachage par exemple), et il partage la Authentication objet du cycle de vie.

    HashMap<String, Object> info = new HashMap<String, Object>();
info.put("extraInfo", "info");
auth.setDetails(info);
...
Map<String, Object> i = (Map<String, Object>)SecurityContextHolder.getContext().getAuthentication.getDetails();
    InformationsquelleAutor Gandalf
  2. 4

    Votre mise en œuvre de la "UserDetails' peut détenir des données supplémentaires. C'est ce qui est stocké dans la SecurityContext qui est ensuite accessible après connexion réussie.

    Plus tard, vous pourrez y accéder en tant que (ce qui Suppose que MyUserDetails implémente UserDetails)

    Object principal = SecurityContextHolder.getContext().getAuthentication();
if (principal instanceof MyUserDetails) {
  MyUserDetails mud = (MyUserDetails) principal;
  mud.getMyData(); //Extract your additional data here
}
    • Je ne suis pas sûr que je peux utiliser userDetailsSerivce de l'authentification LDAP.
    • Vous ne devez pas mettre en œuvre l'ensemble UserDetailsService. Vous ne pouvez utiliser votre propre mise en œuvre de UserDetails avec LDAP. Voici des informations sur la façon de le faire - static.springsource.org/spring-security/site/docs/3.1.x/...
    InformationsquelleAutor Gopi