使用事务包装 Spring Security 自定义身份验证提供程序

Question

在我的自定义身份验证提供程序中，我能够通过我的服务 API 获取域对象，但是当我从一个域对象爬到另一个域对象以获取特定值以执行额外检查时，Spring 抱怨 Hibernate 会话不存在:-

domain.getAnotherDomain().getProperty(); // epic FAIL

我有以下 AOP 事务来用事务包装我的所有项目 API，我很确定我的自定义身份验证提供程序属于以下模式：-

<tx:advice id="txAdvice">
    <tx:attributes>
        <tx:method name="*" propagation="REQUIRED" />
    </tx:attributes>
</tx:advice>

<aop:config>
    <aop:advisor pointcut="execution(* my.project..*.*(..))" advice-ref="txAdvice" />
</aop:config>

我也配置了 OpenSessionInView 过滤器，但我认为这无论如何都不适用于 Spring Security。

我想我可以创建一个特定的服务 API 来执行所有必需的检查，但我很好奇为什么我不能用适当的事务来包装我的自定义身份验证提供程序。

有什么解释吗？谢谢。

Answer 1

我的解决方案是创建一个服务 API 来执行检查，以避免在我的自定义身份验证提供程序中出现延迟加载错误。

Answer 2

Spring 抱怨 Hibernate 会话不存在

不太确定我是否理解了您的所有问题，但我认为上述陈述代表了您的主要问题，对吧？您没有提供任何堆栈跟踪，但我想这是臭名昭著的“没有会话或会话关闭”，这是您刚才描述的典型场景：

domain.getAnotherDomain().getProperty(); // 史诗般的失败

也许我遗漏了一些东西，但我认为典型的答案也适用于这里：映射您与 fetch=FetchType.EAGER 的关系，这样您就不必在会话已经关闭时延迟加载它。

Answer 3

您尚未发布任何可以让我们提出任何有意义建议的代码。

但是自定义身份验证提供程序的一个问题可能是您可能将一个抽象方法标记为@Transactional，您正在覆盖该抽象方法并从抽象类实例中调用它。

例如来自 AbstractUserDetailsAuthenticationProvider 的 retreiveUser。该方法是从实例内部调用的（参见方法authenticate），因此无法通过AOP代理机制初始化事务。更多详情请查看@Transactional method calling another method without @Transactional anotation?

Spring 声明式事务模型使用 AOP 代理。所以 AOP 代理负责创建事务。仅当实例中的方法从实例外部调用时，AOP 代理才会处于活动状态。

Answer 4

我遇到了同样的问题，原因是我在 web.xml 文件中的 OpenSessionInView 过滤器之前声明了 Spring Security 的过滤器。一旦我交换了它们，问题就消失了。

原因是在 OpenSessionInView 过滤器打开 Hibernate 会话之前调用了 Spring Security，因此没有打开会话。