Я пытаюсь понять, как заставить Spring Security вернуть объект UserDetails для анонимных пользователей для этого вызова:
SecurityContextHolder.getContext().getAuthentication().getPrincipal()
Я знаю, что без специальной настройки этот вызов вернет строку вместо объекта UserDetails, который вы создаете с помощью пользовательской реализации UserDetailsService, но я бы не хотел постоянно везде проверять «if (основной экземпляр строки)». Есть ли способ сделать это с конфигурацией Spring - способ, который будет хранить анонимный объект UserDetails в контексте сеанса пользователя до тех пор, пока он не войдет в систему? Якобы мне нужны уникальные анонимные сведения о пользователе для каждого гостя, чтобы я мог отслеживать их индивидуальное использование.
Я также заметил, что методы, которые я защитил с помощью аннотации «PreAuthorize», похоже, не соблюдают проверку hasRole с анонимными пользователями. Я уверен, что это симптом того, что я делаю неправильно. Вот пример этого:
@RequestMapping(value = "/almanac/new", method = RequestMethod.GET)
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String newSetup(ModelMap model) {
Вот мой контекст безопасности spring (полный, за исключением вложенного узла bean-компонентов). Вы можете заметить, что я пытался включить "анонимный"
<debug />
<http pattern="/js/**" security="none" />
<http pattern="/css/**" security="none" />
<http pattern="/images/**" security="none" />
<http pattern="/loggedout.jsp" security="none"/>
<http name="httpSiteMap" use-expressions="true">
<custom-filter ref="almanacUsrPwdAuthProcFilter" before="FORM_LOGIN_FILTER"/>
<intercept-url pattern="/login*" access="isAnonymous()" />
<intercept-url pattern="/home/**" access="hasRole('ROLE_USER')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
<intercept-url pattern="/**" access="isAnonymous()" />
<form-login login-page="/login.jsp"
default-target-url="/home.htm"
always-use-default-target="false" />
<logout logout-success-url="/loggedout.jsp" delete-cookies="JSESSIONID"/>
<session-management invalid-session-url="/timeout.jsp">
<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</session-management>
<anonymous enabled="true" />
</http>
<global-method-security pre-post-annotations="enabled" secured-annotations="enabled" />
<authentication-manager alias="mainAuthMgr">
<authentication-provider ref="almanacAuthenticationProvider"/>
</authentication-manager>
Приветствуются любые другие предложения, основанные на коде, который вы видите здесь.
UserDetails
? Какие данные он будет содержать и как вы будете его использовать? Вам не нужно<anonymous enabled="true" />
, так как это значение по умолчанию. Вы должны увидетьAnonymousAuthenticationFilter
в журнале отладки в качестве подтверждения. - person Shaun the Sheep   schedule 29.01.2012