Jak uzyskać obiekt sesji na wiosnę?

Question 1

Jestem stosunkowo nowy w zabezpieczeniach Spring and Spring.

Próbowałem napisać program, w którym musiałem uwierzytelnić użytkownika na końcu serwera za pomocą zabezpieczeń Spring,

Wymyśliłem:

public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider{
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
                    throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
    }
}

Mój przypadek polega na tym, że kiedy użytkownik jest uwierzytelniany, muszę umieścić atrybut taki jak:

session.setAttribute("userObject", myUserObject);

myUserObject jest obiektem pewnej klasy, do którego mam dostęp w całym kodzie serwera w ramach wielu żądań użytkowników.

Question 2

Twój przyjaciel jest tutaj org.springframework.web.context.request.RequestContextHolder

// example usage
public static HttpSession session() {
    ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
    return attr.getRequest().getSession(true); // true == allow create
}

Zostanie on wypełniony przez standardowy serwlet wysyłania wiosennego mvc, ale jeśli używasz innej struktury sieciowej, musisz dodać org.springframework.web.filter.RequestContextFilterjako filtr web.xmldo zarządzania uchwytem.

EDYCJA : tak samo jak kwestia poboczna, co faktycznie próbujesz zrobić, nie jestem pewien, czy potrzebujesz dostępu do HttpSessionw retieveUsermetodzie UserDetailsService. Zabezpieczenia Spring umieszczą obiekt UserDetails w sesji za Ciebie w dowolny sposób. Można go pobrać, uzyskując dostęp do SecurityContextHolder:

public static UserDetails currentUserDetails(){
    SecurityContext securityContext = SecurityContextHolder.getContext();
    Authentication authentication = securityContext.getAuthentication();
    if (authentication != null) {
        Object principal = authentication.getPrincipal();
        return principal instanceof UserDetails ? (UserDetails) principal : null;
    }
    return null;
}

Question 3

Ponieważ używasz Springa, trzymaj się Springa, nie hakuj go samodzielnie, jak inne posty.

Instrukcja Spring mówi:

Ze względów bezpieczeństwa nie należy bezpośrednio wchodzić w interakcję z HttpSession. Po prostu nie ma to uzasadnienia - zamiast tego zawsze używaj SecurityContextHolder.

Sugerowane sprawdzone metody uzyskiwania dostępu do sesji to:

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}

Kluczowe jest to, że Spring i Spring Security robią dla Ciebie wiele wspaniałych rzeczy, takich jak Session Fixation Prevention. Te rzeczy zakładają, że używasz struktury Spring w takiej postaci, w jakiej została zaprojektowana. Zatem w swoim serwlecie uczyń go świadomym kontekstu i uzyskaj dostęp do sesji, jak w powyższym przykładzie.

Jeśli potrzebujesz tylko przechowywać niektóre dane w zakresie sesji, spróbuj utworzyć jakiś komponent bean o zasięgu sesji, taki jak ten przykład, i pozwól autowire wykonać swoją magię. :)

Question 4

zrobiłem własne narzędzia. jest poręczny. :)

package samples.utils;

import java.util.Arrays;
import java.util.Collection;
import java.util.Locale;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import javax.sql.DataSource;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.NoSuchBeanDefinitionException;
import org.springframework.beans.factory.NoUniqueBeanDefinitionException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationEventPublisher;
import org.springframework.context.MessageSource;
import org.springframework.core.convert.ConversionService;
import org.springframework.core.io.ResourceLoader;
import org.springframework.core.io.support.ResourcePatternResolver;
import org.springframework.ui.context.Theme;
import org.springframework.util.ClassUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.LocaleResolver;
import org.springframework.web.servlet.ThemeResolver;
import org.springframework.web.servlet.support.RequestContextUtils;


/**
 * SpringMVC通用工具
 * 
 * @author 应卓([email protected])
 *
 */
public final class WebContextHolder {

    private static final Logger LOGGER = LoggerFactory.getLogger(WebContextHolder.class);

    private static WebContextHolder INSTANCE = new WebContextHolder();

    public WebContextHolder get() {
        return INSTANCE;
    }

    private WebContextHolder() {
        super();
    }

    // --------------------------------------------------------------------------------------------------------------

    public HttpServletRequest getRequest() {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        return attributes.getRequest();
    }

    public HttpSession getSession() {
        return getSession(true);
    }

    public HttpSession getSession(boolean create) {
        return getRequest().getSession(create);
    }

    public String getSessionId() {
        return getSession().getId();
    }

    public ServletContext getServletContext() {
        return getSession().getServletContext();    // servlet2.3
    }

    public Locale getLocale() {
        return RequestContextUtils.getLocale(getRequest());
    }

    public Theme getTheme() {
        return RequestContextUtils.getTheme(getRequest());
    }

    public ApplicationContext getApplicationContext() {
        return WebApplicationContextUtils.getWebApplicationContext(getServletContext());
    }

    public ApplicationEventPublisher getApplicationEventPublisher() {
        return (ApplicationEventPublisher) getApplicationContext();
    }

    public LocaleResolver getLocaleResolver() {
        return RequestContextUtils.getLocaleResolver(getRequest());
    }

    public ThemeResolver getThemeResolver() {
        return RequestContextUtils.getThemeResolver(getRequest());
    }

    public ResourceLoader getResourceLoader() {
        return (ResourceLoader) getApplicationContext();
    }

    public ResourcePatternResolver getResourcePatternResolver() {
        return (ResourcePatternResolver) getApplicationContext();
    }

    public MessageSource getMessageSource() {
        return (MessageSource) getApplicationContext();
    }

    public ConversionService getConversionService() {
        return getBeanFromApplicationContext(ConversionService.class);
    }

    public DataSource getDataSource() {
        return getBeanFromApplicationContext(DataSource.class);
    }

    public Collection<String> getActiveProfiles() {
        return Arrays.asList(getApplicationContext().getEnvironment().getActiveProfiles());
    }

    public ClassLoader getBeanClassLoader() {
        return ClassUtils.getDefaultClassLoader();
    }

    private <T> T getBeanFromApplicationContext(Class<T> requiredType) {
        try {
            return getApplicationContext().getBean(requiredType);
        } catch (NoUniqueBeanDefinitionException e) {
            LOGGER.error(e.getMessage(), e);
            throw e;
        } catch (NoSuchBeanDefinitionException e) {
            LOGGER.warn(e.getMessage());
            return null;
        }
    }

}

Question 5

Rzeczywiście, możesz uzyskać dostęp do informacji z sesji, nawet gdy sesja jest niszczona na HttpSessionLisener, wykonując:

public void sessionDestroyed(HttpSessionEvent hse) {
    SecurityContextImpl sci = (SecurityContextImpl) hse.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
    // be sure to check is not null since for users who just get into the home page but never get authenticated it will be
    if (sci != null) {
        UserDetails cud = (UserDetails) sci.getAuthentication().getPrincipal();
        // do whatever you need here with the UserDetails
    }
 }

lub możesz również uzyskać dostęp do informacji wszędzie tam, gdzie masz dostępny obiekt HttpSession, na przykład:

SecurityContextImpl sci = (SecurityContextImpl) session().getAttribute("SPRING_SECURITY_CONTEXT");

ostatnie zakładając, że masz coś takiego:

HttpSession sesssion = ...; // can come from request.getSession(false);

Question 6

Próbuję z następnym kodem i działa doskonale

    import org.springframework.security.core.Authentication;
    import org.springframework.security.core.context.SecurityContextHolder;
    import org.springframework.stereotype.Controller;
    import org.springframework.ui.ModelMap;
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RequestMethod;

    /**
     * Created by jaime on 14/01/15.
     */

    @Controller
    public class obteinUserSession {
        @RequestMapping(value = "/loginds", method = RequestMethod.GET)
        public String UserSession(ModelMap modelMap) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            String name = auth.getName();
            modelMap.addAttribute("username", name);
            return "hellos " + name;
        }

Question 7

Jeśli wszystko, czego potrzebujesz, to dane użytkownika, dla wersji Spring 4.x możesz użyć @AuthenticationPrincipali @EnableWebSecurityoznaczyć dostarczone przez Spring, jak pokazano poniżej.

Klasa konfiguracji zabezpieczeń:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   ...
}

Metoda kontrolera:

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal User user) {
    ...
}

Question 8

W moim scenariuszu wstrzyknąłem HttpSession do klasy CustomAuthenticationProvider w ten sposób

public class CustomAuthenticationProvider extends  AbstractUserDetailsAuthenticationProvider{

    @Autowired 
    private HttpSession httpSession;

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
             throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception 
if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
        httpSession.setAttribute("userObject", myUserObject);
    }
}

Question 9

ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
attr.getSessionId();

Answer 1

Jestem stosunkowo nowy w zabezpieczeniach Spring and Spring.

Próbowałem napisać program, w którym musiałem uwierzytelnić użytkownika na końcu serwera za pomocą zabezpieczeń Spring,

Wymyśliłem:

public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider{
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
                    throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
    }
}

Mój przypadek polega na tym, że kiedy użytkownik jest uwierzytelniany, muszę umieścić atrybut taki jak:

session.setAttribute("userObject", myUserObject);

myUserObject jest obiektem pewnej klasy, do którego mam dostęp w całym kodzie serwera w ramach wielu żądań użytkowników.

Answer 2

147

Twój przyjaciel jest tutaj org.springframework.web.context.request.RequestContextHolder

// example usage
public static HttpSession session() {
    ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
    return attr.getRequest().getSession(true); // true == allow create
}

Zostanie on wypełniony przez standardowy serwlet wysyłania wiosennego mvc, ale jeśli używasz innej struktury sieciowej, musisz dodać org.springframework.web.filter.RequestContextFilterjako filtr web.xmldo zarządzania uchwytem.

EDYCJA : tak samo jak kwestia poboczna, co faktycznie próbujesz zrobić, nie jestem pewien, czy potrzebujesz dostępu do HttpSessionw retieveUsermetodzie UserDetailsService. Zabezpieczenia Spring umieszczą obiekt UserDetails w sesji za Ciebie w dowolny sposób. Można go pobrać, uzyskując dostęp do SecurityContextHolder:

public static UserDetails currentUserDetails(){
    SecurityContext securityContext = SecurityContextHolder.getContext();
    Authentication authentication = securityContext.getAuthentication();
    if (authentication != null) {
        Object principal = authentication.getPrincipal();
        return principal instanceof UserDetails ? (UserDetails) principal : null;
    }
    return null;
}

Gareth Davis
źródło

1

@pierwszy punkt: próbowałem użyć RequestContextHolder, dało mi to błąd: Nie znaleziono żądania związanego z wątkiem: Czy odwołujesz się do ... użyj RequestContextListener lub RequestContextFilter, aby ujawnić bieżące żądanie. Chyba nie próbowałem filtrów, spróbuję tego i dam znać, czy zadziała. @ drugi punkt: w rzeczywistości jest to obiekt niestandardowy, dlatego nie wolałem UserDetails, jeśli to możliwe, zobacz moje inne pytanie na podobny temat: stackoverflow.com/questions/1629273/ ...

Salvin Francis

2

jeśli nie używasz serwletu wysyłki, musisz skonfigurować: RequestContextFilter

Gareth Davis

1

przepraszam mój błąd ... dostosowałem kod z mojego własnego projektu, który używa getRequest, odpowiedź jest aktualizowana

Gareth Davis

1

nie, to wygląda dobrze ... spróbuj zatrzymać kod w debugerze i sprawdź, czy RequestContextFilter znajduje się na stosie wywołań

Gareth Davis

1

Okazało się, że RequestContextFilter nie działa dla mnie, podczas gdy RequestContextListener tak ...<listener><listener-class>org.springframework.web.context.request.RequestContextListener</listener-class></listener>

Josh

Answer 3

1

@pierwszy punkt: próbowałem użyć RequestContextHolder, dało mi to błąd: Nie znaleziono żądania związanego z wątkiem: Czy odwołujesz się do ... użyj RequestContextListener lub RequestContextFilter, aby ujawnić bieżące żądanie. Chyba nie próbowałem filtrów, spróbuję tego i dam znać, czy zadziała. @ drugi punkt: w rzeczywistości jest to obiekt niestandardowy, dlatego nie wolałem UserDetails, jeśli to możliwe, zobacz moje inne pytanie na podobny temat: stackoverflow.com/questions/1629273/ ...

Salvin Francis

Answer 4

2

jeśli nie używasz serwletu wysyłki, musisz skonfigurować: RequestContextFilter

Gareth Davis

Answer 5

1

przepraszam mój błąd ... dostosowałem kod z mojego własnego projektu, który używa getRequest, odpowiedź jest aktualizowana

Gareth Davis

Answer 6

1

nie, to wygląda dobrze ... spróbuj zatrzymać kod w debugerze i sprawdź, czy RequestContextFilter znajduje się na stosie wywołań

Gareth Davis

Answer 7

1

Okazało się, że RequestContextFilter nie działa dla mnie, podczas gdy RequestContextListener tak ...<listener><listener-class>org.springframework.web.context.request.RequestContextListener</listener-class></listener>

Josh

Answer 8

Ponieważ używasz Springa, trzymaj się Springa, nie hakuj go samodzielnie, jak inne posty.

Instrukcja Spring mówi:

Ze względów bezpieczeństwa nie należy bezpośrednio wchodzić w interakcję z HttpSession. Po prostu nie ma to uzasadnienia - zamiast tego zawsze używaj SecurityContextHolder.

Sugerowane sprawdzone metody uzyskiwania dostępu do sesji to:

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}

Kluczowe jest to, że Spring i Spring Security robią dla Ciebie wiele wspaniałych rzeczy, takich jak Session Fixation Prevention. Te rzeczy zakładają, że używasz struktury Spring w takiej postaci, w jakiej została zaprojektowana. Zatem w swoim serwlecie uczyń go świadomym kontekstu i uzyskaj dostęp do sesji, jak w powyższym przykładzie.

Jeśli potrzebujesz tylko przechowywać niektóre dane w zakresie sesji, spróbuj utworzyć jakiś komponent bean o zasięgu sesji, taki jak ten przykład, i pozwól autowire wykonać swoją magię. :)

Answer 9

zrobiłem własne narzędzia. jest poręczny. :)

package samples.utils;

import java.util.Arrays;
import java.util.Collection;
import java.util.Locale;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import javax.sql.DataSource;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.NoSuchBeanDefinitionException;
import org.springframework.beans.factory.NoUniqueBeanDefinitionException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationEventPublisher;
import org.springframework.context.MessageSource;
import org.springframework.core.convert.ConversionService;
import org.springframework.core.io.ResourceLoader;
import org.springframework.core.io.support.ResourcePatternResolver;
import org.springframework.ui.context.Theme;
import org.springframework.util.ClassUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.LocaleResolver;
import org.springframework.web.servlet.ThemeResolver;
import org.springframework.web.servlet.support.RequestContextUtils;


/**
 * SpringMVC通用工具
 * 
 * @author 应卓([email protected])
 *
 */
public final class WebContextHolder {

    private static final Logger LOGGER = LoggerFactory.getLogger(WebContextHolder.class);

    private static WebContextHolder INSTANCE = new WebContextHolder();

    public WebContextHolder get() {
        return INSTANCE;
    }

    private WebContextHolder() {
        super();
    }

    // --------------------------------------------------------------------------------------------------------------

    public HttpServletRequest getRequest() {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        return attributes.getRequest();
    }

    public HttpSession getSession() {
        return getSession(true);
    }

    public HttpSession getSession(boolean create) {
        return getRequest().getSession(create);
    }

    public String getSessionId() {
        return getSession().getId();
    }

    public ServletContext getServletContext() {
        return getSession().getServletContext();    // servlet2.3
    }

    public Locale getLocale() {
        return RequestContextUtils.getLocale(getRequest());
    }

    public Theme getTheme() {
        return RequestContextUtils.getTheme(getRequest());
    }

    public ApplicationContext getApplicationContext() {
        return WebApplicationContextUtils.getWebApplicationContext(getServletContext());
    }

    public ApplicationEventPublisher getApplicationEventPublisher() {
        return (ApplicationEventPublisher) getApplicationContext();
    }

    public LocaleResolver getLocaleResolver() {
        return RequestContextUtils.getLocaleResolver(getRequest());
    }

    public ThemeResolver getThemeResolver() {
        return RequestContextUtils.getThemeResolver(getRequest());
    }

    public ResourceLoader getResourceLoader() {
        return (ResourceLoader) getApplicationContext();
    }

    public ResourcePatternResolver getResourcePatternResolver() {
        return (ResourcePatternResolver) getApplicationContext();
    }

    public MessageSource getMessageSource() {
        return (MessageSource) getApplicationContext();
    }

    public ConversionService getConversionService() {
        return getBeanFromApplicationContext(ConversionService.class);
    }

    public DataSource getDataSource() {
        return getBeanFromApplicationContext(DataSource.class);
    }

    public Collection<String> getActiveProfiles() {
        return Arrays.asList(getApplicationContext().getEnvironment().getActiveProfiles());
    }

    public ClassLoader getBeanClassLoader() {
        return ClassUtils.getDefaultClassLoader();
    }

    private <T> T getBeanFromApplicationContext(Class<T> requiredType) {
        try {
            return getApplicationContext().getBean(requiredType);
        } catch (NoUniqueBeanDefinitionException e) {
            LOGGER.error(e.getMessage(), e);
            throw e;
        } catch (NoSuchBeanDefinitionException e) {
            LOGGER.warn(e.getMessage());
            return null;
        }
    }

}

Answer 10

Rzeczywiście, możesz uzyskać dostęp do informacji z sesji, nawet gdy sesja jest niszczona na HttpSessionLisener, wykonując:

public void sessionDestroyed(HttpSessionEvent hse) {
    SecurityContextImpl sci = (SecurityContextImpl) hse.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
    // be sure to check is not null since for users who just get into the home page but never get authenticated it will be
    if (sci != null) {
        UserDetails cud = (UserDetails) sci.getAuthentication().getPrincipal();
        // do whatever you need here with the UserDetails
    }
 }

lub możesz również uzyskać dostęp do informacji wszędzie tam, gdzie masz dostępny obiekt HttpSession, na przykład:

SecurityContextImpl sci = (SecurityContextImpl) session().getAttribute("SPRING_SECURITY_CONTEXT");

ostatnie zakładając, że masz coś takiego:

HttpSession sesssion = ...; // can come from request.getSession(false);

Answer 11

Próbuję z następnym kodem i działa doskonale

    import org.springframework.security.core.Authentication;
    import org.springframework.security.core.context.SecurityContextHolder;
    import org.springframework.stereotype.Controller;
    import org.springframework.ui.ModelMap;
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RequestMethod;

    /**
     * Created by jaime on 14/01/15.
     */

    @Controller
    public class obteinUserSession {
        @RequestMapping(value = "/loginds", method = RequestMethod.GET)
        public String UserSession(ModelMap modelMap) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            String name = auth.getName();
            modelMap.addAttribute("username", name);
            return "hellos " + name;
        }

Answer 12

4

Dodaj wyjaśnienie do swojego kodu. Tutaj samo rzucanie kodu lub linku na czyjeś pytanie nie jest tak naprawdę odpowiedzią.

Rémi

Answer 13

Jeśli wszystko, czego potrzebujesz, to dane użytkownika, dla wersji Spring 4.x możesz użyć @AuthenticationPrincipali @EnableWebSecurityoznaczyć dostarczone przez Spring, jak pokazano poniżej.

Klasa konfiguracji zabezpieczeń:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   ...
}

Metoda kontrolera:

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal User user) {
    ...
}

Answer 14

W moim scenariuszu wstrzyknąłem HttpSession do klasy CustomAuthenticationProvider w ten sposób

public class CustomAuthenticationProvider extends  AbstractUserDetailsAuthenticationProvider{

    @Autowired 
    private HttpSession httpSession;

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
             throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception 
if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
        httpSession.setAttribute("userObject", myUserObject);
    }
}

Answer 15

0

ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
attr.getSessionId();

Ebrahim Kh
źródło

5

Czy mógłbyś dodać dodatkowe informacje do swojej odpowiedzi, w jaki sposób rozwiązuje to problem w porównaniu z innymi istniejącymi odpowiedziami?

slfan

Answer 16

5

Czy mógłbyś dodać dodatkowe informacje do swojej odpowiedzi, w jaki sposób rozwiązuje to problem w porównaniu z innymi istniejącymi odpowiedziami?

slfan

Jak uzyskać obiekt sesji na wiosnę?

Odpowiedzi: