1. Inicio
  2. Pregunta y respuesta
  3. Acceso a RequestContextHolder y HttpServletRequest.getUserPrincipal() de AuthenticationSuccessHandler

Acceso a RequestContextHolder y HttpServletRequest.getUserPrincipal() de AuthenticationSuccessHandler

2011-09-30 12 views
6

Tengo una aplicación Spring-MVC (es decir, estoy utilizando el servlet despachador de Spring). También estoy usando Spring Security para autenticar usuarios. Desde que uso servlet despachador de la primavera, que no tienen que declararAcceso a RequestContextHolder y HttpServletRequest.getUserPrincipal() de AuthenticationSuccessHandler

<listener> 
    <listener-class>org.springframework.web.context.request.RequestContextListener</listener-class> 
    </listener>

en mi web.xml con el fin de poder utilizar RequestContextHolder (si he entendido bien la documentación).

Mi pregunta se refiere a la implementación de la interfaz org.springframework.security.web.authentication.AuthenticationSuccessHandler:

public class AuthenticationSuccessHandlerImpl implements AuthenticationSuccessHandler { 

    @Override 
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException { 

     int timeout = 60*60; 

     //does work 
     request.getSession().setMaxInactiveInterval(timeout); //60 minutes 
     System.out.println("Session timeout of user: " + authentication.getName() + " has been set to: " + timeout + " seconds."); 

     /* 
     //does not work 
     session().setMaxInactiveInterval(timeout); //60 minutes 
     System.out.println("Session timeout of user: " + request.getUserPrincipal().getName() + " has been set to: " + timeout + " seconds."); 
     */ 

     //now restore the default work flow (SavedRequestAwareAuthenticationSuccessHandler is the default AuthenticationSuccessHandler that Spring uses, 
     // see: http://static.springsource.org/spring-security/site/docs/3.0.x/reference/core-web-filters.html#form-login-flow-handling) 
     (new SavedRequestAwareAuthenticationSuccessHandler()).onAuthenticationSuccess(request, response, authentication); 
    } 

    public static HttpSession session() { 
     ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes(); 
     return attr.getRequest().getSession(true); // true == allow create 
    } 
}

Podría explicar por qué en el código mencionado anteriormente, RequestContextHolder.currentRequestAttributes() y HttpServletRequest.getUserPrincipal() no funcionan (que funcionan dentro de un Controlador)?

Gracias!

Fuente

2011-09-30 rapt

+0

Euh, ya tiene 'RequestContextHolder.currentRequestAttributes' (es el parámetro del método de solicitud), y ya tiene el principal (es el parámetro del método de autenticación). Bit pregunta sin sentido. Por cierto, el ajuste de la solicitud, para proporcionarle un principal, se realiza en SecurityContextHolderAwareRequestFilter, que viene después del inicio de sesión de formulario (y, por lo tanto, después del controlador de éxito). – MikeN

Respuesta

4

La seguridad de primavera se basa en filtros. Es por eso que necesita el RequestContextListener definido ya que el DispatcherServlet no se habrá invocado aún cuando ocurra la seguridad de la primavera y el contexto de la solicitud de primavera no se haya configurado.

Fuente

2011-09-30 08:11:24 pap

+0

Gracias. Eso responde a la parte 'RequestContextHolder.currentRequestAttributes()'. Ahora miro el código de 'RequestContextListener' pero no veo ningún' request.getUserPrincipal() ', ¿dónde se guarda' UserPrincipal' en la 'solicitud'? No se guarda automáticamente antes de ingresar 'onAuthenticationSuccess()' ya que me está dando 'NullPointerException' dentro de ese método. De hecho, me estoy preguntando en qué otro servlet filtro/despachador se guarda 'UserPrincipal' en la' solicitud', y ¿hay algún oyente que me permita leerlo desde 'request' en' onAuthenticationSuccess() '? – rapt

Cuestiones relacionadas

 Cuestiones relacionadas