初始化受 Spring 身份验证保护的存储库

Question

我使用 Spring Boot Data REST 将实体的 Hibernate 存储库映射到 REST 路由。我还使用 Spring Security 的 @PreAuthorize 注释来保护这些存储库的某些方法。这在生产过程中工作正常，但是当我想用数据以编程方式初始化存储库时（例如，添加第一个用户以开始使用和一些其他示例数据），它抱怨“在 SecurityContext 中找不到身份验证对象”。我意识到这是因为在我配置数据库时安全上下文中没有经过身份验证的用户（使用自动装配的组件将对象保存到存储库）。不过我想在配置的时候暂时绕过这个授权，这样我就可以初始化数据库了。

有什么方法可以实现吗？如果没有，如何在初始化方法中手动登录？我已经看到了对第二种方法的一些尝试，但它们都需要访问AuthenticationManager，我不知道如何获得。

Answer 1

一个简单的解决方案：忽略安全性并专注于一个空的存储库

@Component
class InitializeDataIfNoDataPresent {
  private final UserRepo repository;

  public InitializeDataIfNoDataPresent(UserRepo repo) {
      this.repository = repo;
  }

  @EventListener(ApplicationReadyEvent.class)
  public void init() {
    if(0 == repository.count()) {
      setupData();
    } 
  }

  @PreAuthorize("hasRole('ADMIN')")
  public void setupData() {
    // your existing setup
  }

}

当应用程序启动并且您的存储库为空时，即使没有用户在场，setupData() 也会被调用。

参考：stackoverflow-initialization-secured

Answer 2

您可以使用以下代码创建一个具有足够权限的假用户，并在运行该受保护方法之前将其设置为SecurityContext：

List<GrantedAuthority> grantedAuthorities = new ArrayList<>();

//Setup the permission that the user should have in order to run that method.
//It is the customized value based on your security configuration
grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_SUPER_ADMIN")); 

//Ensure this user is enabled , active and has above permission
User user = new User("admin", "password", true, true, true, true, grantedAuthorities);

Authentication auth = new UsernamePasswordAuthenticationToken(user, user.getPassword(), user.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(auth);

执行该受保护方法后，重置SecurityContext（相当于注销）：

SecurityContextHolder.clearContext();