使用 Spring Security 时，Tomcat 访问日志中缺少用户 (%u)

Question

我在 Apache Tomcat 8 中运行了一个示例 Spring Security (hello world) web 应用程序。我试图查看的是 Tomcat 访问日志中的用户信息，但看起来该信息不存在。访问日志条目示例：

0:0:0:0:0:0:0:1 - - [06/Nov/2019:09:41:57 +0200] "GET / HTTP/1.1" 200 422
0:0:0:0:0:0:0:1 - - [06/Nov/2019:09:41:59 +0200] "GET /hello HTTP/1.1" 200 83

Tomcatserver.xml中的访问日志配置为：

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
           prefix="localhost_access_log" suffix=".txt"
           pattern="common" />

pattern="common" 对应于由 '%h %l %u %t "%r" %s %b' 定义的通用日志格式，如 here 所述。 Tomcat 文档还指出：

%u - 已通过身份验证的远程用户（如果有），否则为 '-'

我应该应用任何其他配置来使用户在访问日志中可见吗？

Answer 1

作为answered，它可能无法按预期工作

Tomcat 的访问日志阀，这不起作用，因为 Tomcat 不知道 Spring Security，它完全在您的应用程序中运行。

您可以使用过滤器：

最简单的选择是在 Spring Security 之后添加您自己的过滤器（例如在 web.xml 中），然后转储您想要的信息

其他解决方案suggested in Config9，您可能需要包含用户名作为会话属性

这可能还不够，因为常见模式已经包含 %u 参数。在这种情况下，我会推荐两个额外的步骤：

1) 将用户名放入请求会话参数中，例如：

request.getSession().addAttribute("username", user.getName());

2) 在访问日志模式中添加以下参数：%{username}s

server.tomcat.accesslog.pattern=%h %l %t %u %{username}s "%r" %s %b