我有这段代码
UserDetails userDetails = userDetailsServiceImpl.loadUserByUsername(email);
Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());
SecurityContext securityContext = SecurityContextHolder.getContext();
securityContext.setAuthentication(authentication);
HttpSession session = request.getSession(true);
session.setAttribute("SPRING_SECURITY_CONTEXT", securityContext);
这是在spring security中手动验证用户。 我的问题是我应该把这段代码放在哪里? 将它放在服务层中会迫使我将 HttpSession 对象带到 AFAIK 不好的服务层。 我也不确定将身份验证逻辑放在表示层中有多好。任何人有任何见解??
提前致谢。
最佳答案
引用Luke Taylor对问题Best practice for getting active user's UserDetails?的回答用于创建自定义接口(interface)来执行此类操作的设计原理,同时使您的代码与 Spring Security 分离。例如,您可以编写一个名为 MyAuthenticator
的接口(interface)并编写实现并将其注入(inject)到您的应用程序中。
此外,如果您的 spring 安全过滤器是标准的,那么您不需要访问 HttpSession 对象。框架过滤器会处理它。您只需在实现中编写以下内容:
UserDetails userDetails = userDetailsServiceImpl.loadUserByUsername(email);
Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authentication);
我不建议使用“SPRING_SECURITY_CONTEXT”(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY
),因为它可能会在框架的 future 版本中发生变化。
关于java - spring security中的手动认证逻辑应该去哪里——服务层还是表现层?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15484139/