Spring Security Authentication - вопрос по документации

Question

Я смотрю на эту страницу в Spring Security JavaDoc:

http://static.springsource.org/spring-security/site/docs/3.1.x/apidocs/org/springframework/security/web/authentication/AbstractAuthenticationProcessingFilter.html#attemptAuthentication(javax.servlet.http.HttpServletRequest,%20javax.servlet.http.HttpServletResponse)

Что означает эта строка?

Возвращает ноль, указываячто процесс аутентификации все еще продолжается.Перед возвращением реализация должна выполнить любую дополнительную работу, необходимую для завершения процесса.

Я работаю над формой, которая позволяет пользователю войти в систему и собирать другие данные.Я не хочу использовать имя пользователя DefaultPasswordAuthenticationFilter, потому что тогда я потеряю все остальные данные, заполненные в форме.

Answer 1

Обычный способ получить больше данных из формы входа в систему - использовать пользовательский WebAuthenticationDetails.

См. в этой теме для получения информации о том, как это сделать.

Answer 2

Что означает эта строка?

Как правило, это означает, что если вы вернете значение null из переопределенного метода attemptAuthentication(), цепочка фильтров будет разорвана, и после UsernamePasswordAuthenticationFilter не будет вызываться никаких других фильтров. После чего вы несете ответственность за завершение процесса аутентификации, а не за другие фильтры в цепочке.

Вы можете взглянуть на строку исходного кода метода AbstractAuthenticationProcessingFilter#doFilter(): 201.

Другими словами, возврат null обойдется вам в дополнительную работу.

Если вы хотите переопределить только attemptAuthentication(), вы должны бросить AuthenticationException при неудачной аутентификации.

Если вы хотите вернуть null из attemptAuthentication(), вам также следует переопределить doFilter() и обработать результат null самостоятельно.