Spring Security 3.1 и возвращение анонимных UserDetails

Question

Я пытаюсь выяснить, как Spring Security возвращает объект UserDetails для анонимных пользователей для этого вызова:

SecurityContextHolder.getContext().getAuthentication().getPrincipal()

Я знаю, что без специальной настройки этот вызов будет возвращать строку вместо объекта UserDetails, который вы создаете с помощью пользовательской реализации UserDetailsService, но я бы предпочел не везде постоянно проверять, "если (главный экземпляр String)". Есть ли способ сделать это с помощью конфигурации Spring - способ, который будет хранить анонимный объект UserDetails в контексте сеанса пользователя, пока они не войдут в систему? Якобы, я бы хотел уникальные анонимные UserDetails для каждого гостя, чтобы я мог отслеживать индивидуальное использование с ним.

Я также заметил, что методы, которые я закрепил с помощью аннотации «PreAuthorize», похоже, не выполняют проверку hasRole анонимными пользователями. Я уверен, что это признак того, что я делаю неправильно. Вот пример этого:

@RequestMapping(value = "/almanac/new", method = RequestMethod.GET)
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String newSetup(ModelMap model) {

Вот мой весенний контекст безопасности (завершенный, за исключением вмещающего бина). Вы можете заметить, что я попытался включить «анонимный»

<debug />
<http pattern="/js/**"  security="none" />
<http pattern="/css/**"  security="none" />
<http pattern="/images/**"  security="none" />
<http pattern="/loggedout.jsp" security="none"/>
<http name="httpSiteMap" use-expressions="true">
    <custom-filter ref="almanacUsrPwdAuthProcFilter" before="FORM_LOGIN_FILTER"/>
    <intercept-url pattern="/login*" access="isAnonymous()" />
    <intercept-url pattern="/home/**" access="hasRole('ROLE_USER')" />
    <intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
    <intercept-url pattern="/**" access="isAnonymous()" />
    <form-login  login-page="/login.jsp"
                 default-target-url="/home.htm"
                 always-use-default-target="false" />
    <logout logout-success-url="/loggedout.jsp" delete-cookies="JSESSIONID"/>
    <session-management invalid-session-url="/timeout.jsp">
        <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
    </session-management>
    <anonymous enabled="true" />
</http>

<global-method-security pre-post-annotations="enabled" secured-annotations="enabled" />

<authentication-manager alias="mainAuthMgr">
    <authentication-provider ref="almanacAuthenticationProvider"/>
</authentication-manager>

Любые другие предложения, основанные на коде, который вы видите здесь, будут приветствоваться.

Answer 1

Вы не очень подробно рассказали, какие данные вы хотите извлечь из UserDetails для анонимного пользователя. Если вы просто хотите проверить имя пользователя, вы можете использовать Authentication.getName().

В любом случае, если вам требуется более подробный доступ к контексту безопасности, рекомендуется использовать пользовательский интерфейс для отделения кода приложения от классов Spring Security (см. мой ответ по использованию средства доступа к контексту безопасности). ). Таким образом, вы должны проверять тип принципала только в одном месте, а не повторять проверку «везде», для которой вы хотите получить доступ к пользовательским данным.

Если вы абсолютно хотите, чтобы в объекте аутентификации всегда был один и тот же основной тип, независимо от того, является ли пользователь анонимным, вам придется отключить анонимную аутентификацию через пространство имен и добавить собственный фильтр для выполнения этой работы на основе существующий AnonymousAuthenticationFilter.