问题：

在Spring Security中每次请求都从数据库中重新加载

唐彦

2023-03-14

基本上，我们希望每一个请求都重新加载用户的权限，因为用户的权限可能会在不同的web请求之间发生变化。

例如，一个用户登录并随后被授予新的权限（并通过电子邮件通知他们拥有新的权限），我知道该用户实际获得新权限的唯一方法是注销，然后再次登录。如果可能的话，我会尽量避免。

欢迎任何友好的建议。

茅华灿

2023-03-14

最后，在两年之后，对于上面的问题和这个问题之后的六年，这里有一个关于如何用Spring重新加载用户的每个请求的UserDetails的答案...

要在每个请求中重新加载用户/安全上下文，重写Spring Security的HttpSessionSecurityContextRepository的默认行为是很重要的，它实现了SecurityContextRepository接口。

HttpSessionSecurityContextRepository是Spring Security用于从HttpSession获取用户的安全上下文的类。调用该类的代码将SecurityContext放置在ThreadLocal上。因此，当调用LoadContext(HttpRequestResponseHolder，requestResponseHolder)方法时，我们可以转向并向DAO或存储库发出请求，并重新加载用户/主体。

有些事情还没有完全弄清楚。

这个代码线程安全吗？

我不知道，这取决于是否有一个新的SecurityContext创建的每个线程/请求到web服务器。如果有一个新的SecurityContext创建的生命是好的，但如果没有，可能会出现一些有趣的意外行为，如过时的对象异常、保存到数据存储的用户/主体的错误状态等等。

数据库是超级聪明的，它们有算法知道什么和什么时候缓存特定查询。
我们正在使用Hibernate的第二级缓存。

我们从此更改中获得的好处：

我们用来表示主体的UserDetails对象过去是不可序列化的，因此当我们停止并重新启动tomcat服务器时，所有被反序列化的SercurityContexts都将具有一个空主体对象，并且我们的最终用户将由于空指针异常而收到服务器错误。既然UserDetails/Principal对象是可序列化的，并且每个请求都重新加载用户，我们就可以启动/重新启动服务器，而不必清理工作目录。
我们没有收到任何客户关于其新权限未立即生效的投诉。

守则

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.openid.OpenIDAuthenticationToken;
import org.springframework.security.web.context.HttpRequestResponseHolder;
import org.springframework.security.web.context.HttpSessionSecurityContextRepository;
import xxx.repository.security.UserRepository;
import xxx.model.security.User;
import xxx.service.security.impl.acegi.AcegiUserDetails;

public class ReloadUserPerRequestHttpSessionSecurityContextRepository extends HttpSessionSecurityContextRepository {

    // Your particular data store object would be used here...
    private UserRepository userRepository;

    public ReloadUserPerRequestHttpSessionSecurityContextRepository(UserRepository userRepository) {

        this.userRepository = userRepository;
    }

    public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {

        // Let the parent class actually get the SecurityContext from the HTTPSession first.
        SecurityContext context = super.loadContext(requestResponseHolder);

        Authentication authentication = context.getAuthentication();

        // We have two types of logins for our system, username/password
        // and Openid, you will have to specialize this code for your particular application.
        if (authentication instanceof UsernamePasswordAuthenticationToken) {

            UserDetails userDetails = this.createNewUserDetailsFromPrincipal(authentication.getPrincipal());

            // Create a new Authentication object, Authentications are immutable.
            UsernamePasswordAuthenticationToken newAuthentication = new UsernamePasswordAuthenticationToken(userDetails, authentication.getCredentials(), userDetails.getAuthorities());

            context.setAuthentication(newAuthentication);

        } else if (authentication instanceof OpenIDAuthenticationToken) {

            UserDetails userDetails = this.createNewUserDetailsFromPrincipal(authentication.getPrincipal());

            OpenIDAuthenticationToken openidAuthenticationToken = (OpenIDAuthenticationToken) authentication;

            // Create a new Authentication object, Authentications are immutable.
            OpenIDAuthenticationToken newAuthentication = new OpenIDAuthenticationToken(userDetails, userDetails.getAuthorities(), openidAuthenticationToken.getIdentityUrl(), openidAuthenticationToken.getAttributes());

            context.setAuthentication(newAuthentication);
        }

        return context;
    }

    private UserDetails createNewUserDetailsFromPrincipal(Object principal) {

        // This is the class we use to implement the Spring Security UserDetails interface.
        AcegiUserDetails userDetails = (AcegiUserDetails) principal;

        User user = this.userRepository.getUserFromSecondaryCache(userDetails.getUserIdentifier());

        // NOTE:  We create a new UserDetails by passing in our non-serializable object 'User', but that object in the AcegiUserDetails is transient.
        // We use a UUID (which is serializable) to reload the user.  See the userDetails.getUserIdentifier() method above.
        userDetails = new AcegiUserDetails(user);

        return userDetails;
    }
}

要用xml配置插入新的SecurityContextRepository,只需在security：http上下文上设置security-context-repository-ref属性。

XML示例：

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                           http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
                           http://www.springframework.org/schema/security
                           http://www.springframework.org/schema/security/spring-security-4.0.xsd">
    <security:http context-repository-ref="securityContextRepository" >
         <!-- intercept-url and other security configuration here... -->
    </security:http>

    <bean id="securityContextRepository" class="xxx.security.impl.spring.ReloadUserPerRequestHttpSessionSecurityContextRepository" >
        <constructor-arg index="0" ref="userRepository"/>
    </bean>
</beans>

在Spring Security中每次请求都从数据库中重新加载

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档