【发布时间】:2017-06-14 02:23:34
【问题描述】:
我有以下 Spring RestController:
@RestController
@RequestMapping("/v1.0/tenants")
public class TenantController {
@Autowired
private TenantService tenantService;
@RequestMapping(value = "/{tenantId}", method = RequestMethod.GET)
public TenantResponse findTenantById(@PathVariable @NotNull @DecimalMin("0") Long tenantId) {
Tenant tenant = tenantService.findTenantById(tenantId);
return new TenantResponse(tenant);
}
}
findTenantById 方法应该由匿名和授权用户访问。如果是匿名用户 SecurityContextHolder.getContext().getAuthentication() 必须返回 NULL 或 AnonymousAuthenticationToken 但如果是授权 - 身份验证对象。
在我的应用程序中,我使用 OAuth2 + JWT 令牌实现了安全模型。
这是我的配置:
@Override
public void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
.antMatcher("/v1.0/**").authorizeRequests()
.antMatchers("/v1.0/tenants/**").permitAll()
.anyRequest().authenticated()
.and()
.csrf().disable()
.sessionManagement().sessionCreationPolicy(STATELESS);
// @formatter:on
}
此外,对于安全端点,我将在需要的地方应用 @PreAuthorize 注释,但在 findTenantById 的情况下不应用,因为正如我之前所说,我需要授予匿名和授权用户访问此端点的权限。在端点业务逻辑内部,我将根据不同的条件决定谁能够继续。
现在,即使我为此端点提供了我的accessToken,我也无法从SecurityContextHolder.getContext().getAuthentication() 获取经过身份验证的用户对象。
如何配置此端点以便以上述方式工作?
【问题讨论】:
-
Permit all 应该允许所有用户调用控制器方法。如果你曾经在代码中调用
SecurityContextHolder.getContext().getAuthentication(),你很可能做错了什么。如果你需要知道用户是谁,你应该在控制器方法中包含Authentication auth,Spring 会为你注入它,就像Model、Session和一堆其他类型一样。
标签: spring spring-mvc spring-security spring-security-oauth2 spring-restcontroller