spring-security: создать сеанс без HTTP-запроса?

Question

Возможно ли в среде Spring Security создать сеанс без связанного HTTP-запроса?Я разрабатываю приложение, которое развертывается на Tomcat, но пользователи получают к нему доступ через постоянное SIP-соединение.До сих пор я писал свой собственный код управления сеансами, но хотел бы знать, могу ли я делегировать его в Spring Security.

Apache Shiro имеет «гетерогенный клиентский доступ» для реализации своего сеанса, позволяющий использовать любой тип клиентачтобы получить доступ и манипулировать сессиями, как то, что я ищу.

Answer 1

Я почти уверен, что то, что вы хотите, возможно.Однако я не уверен, насколько легко это будет.

Имейте в виду, у меня нет опыта работы с SIP в Java.Но я несколько раз расширял Spring Security.Вам нужно предпринять следующие общие шаги, чтобы заставить его работать:

• Определите и настройте свою собственную цепочку безопасности ( см. Справочные документы по цепочке фильтров безопасности ).
• Создайте пользовательский SecurityContextRepository и свяжите его с SecurityContextPersistenceFilter.
• Вероятно, вы не сможете использовать несколько фильтров, поскольку для них требуется HttpServletRequest (SecurityContextHolderAwareRequestFilter, RememberMeAutheFileter)вам может понадобиться реализовать свой собственный.