Préambule: Depuis Spring-Security 3.2, il y a une belle annotation @AuthenticationPrincipal
décrite à la fin de cette réponse. C'est la meilleure façon de procéder lorsque vous utilisez Spring-Security> = 3.2.
Lorsque vous:
- utiliser une ancienne version de Spring-Security,
- besoin de charger votre objet utilisateur personnalisé à partir de la base de données par certaines informations (comme le login ou l'id) stockées dans le principal ou
- voulez apprendre comment a
HandlerMethodArgumentResolver
ou WebArgumentResolver
peut résoudre cela de manière élégante, ou voulez simplement apprendre le contexte derrière @AuthenticationPrincipal
et AuthenticationPrincipalArgumentResolver
(parce qu'il est basé sur a HandlerMethodArgumentResolver
)
puis continuez à lire - sinon utilisez simplement @AuthenticationPrincipal
et merci à Rob Winch (auteur de @AuthenticationPrincipal
) et Lukas Schmelzeisen (pour sa réponse).
(BTW: Ma réponse est un peu plus ancienne (janvier 2012), c'est donc Lukas Schmelzeisen qui est apparu comme le premier avec la @AuthenticationPrincipal
solution d'annotation basée sur Spring Security 3.2.)
Ensuite, vous pouvez utiliser dans votre contrôleur
public ModelAndView someRequestHandler(Principal principal) {
User activeUser = (User) ((Authentication) principal).getPrincipal();
...
}
Ce n'est pas grave si vous en avez besoin une fois. Mais si vous en avez besoin plusieurs fois, c'est moche car il pollue votre contrôleur avec des détails d'infrastructure, cela devrait normalement être caché par le framework.
Donc, ce que vous voudrez peut-être vraiment, c'est avoir un contrôleur comme celui-ci:
public ModelAndView someRequestHandler(@ActiveUser User activeUser) {
...
}
Par conséquent, il vous suffit de mettre en œuvre un WebArgumentResolver
. Il a une méthode
Object resolveArgument(MethodParameter methodParameter,
NativeWebRequest webRequest)
throws Exception
Cela obtient la requête Web (deuxième paramètre) et doit renvoyer le User
s'il se sent responsable de l'argument de la méthode (le premier paramètre).
Depuis le printemps 3.1, il existe un nouveau concept appelé HandlerMethodArgumentResolver
. Si vous utilisez Spring 3.1+, vous devez l'utiliser. (Il est décrit dans la section suivante de cette réponse))
public class CurrentUserWebArgumentResolver implements WebArgumentResolver{
Object resolveArgument(MethodParameter methodParameter, NativeWebRequest webRequest) {
if(methodParameter is for type User && methodParameter is annotated with @ActiveUser) {
Principal principal = webRequest.getUserPrincipal();
return (User) ((Authentication) principal).getPrincipal();
} else {
return WebArgumentResolver.UNRESOLVED;
}
}
}
Vous devez définir l'annotation personnalisée - Vous pouvez l'ignorer si chaque instance de User doit toujours être extraite du contexte de sécurité, mais n'est jamais un objet de commande.
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ActiveUser {}
Dans la configuration, il vous suffit d'ajouter ceci:
<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter"
id="applicationConversionService">
<property name="customArgumentResolver">
<bean class="CurrentUserWebArgumentResolver"/>
</property>
</bean>
@See: Apprenez à personnaliser les arguments de la méthode Spring MVC @Controller
Il convient de noter que si vous utilisez Spring 3.1, ils recommandent HandlerMethodArgumentResolver sur WebArgumentResolver. - voir le commentaire de Jay
La même chose avec HandlerMethodArgumentResolver
pour Spring 3.1+
public class CurrentUserHandlerMethodArgumentResolver
implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter methodParameter) {
return
methodParameter.getParameterAnnotation(ActiveUser.class) != null
&& methodParameter.getParameterType().equals(User.class);
}
@Override
public Object resolveArgument(MethodParameter methodParameter,
ModelAndViewContainer mavContainer,
NativeWebRequest webRequest,
WebDataBinderFactory binderFactory) throws Exception {
if (this.supportsParameter(methodParameter)) {
Principal principal = webRequest.getUserPrincipal();
return (User) ((Authentication) principal).getPrincipal();
} else {
return WebArgumentResolver.UNRESOLVED;
}
}
}
Dans la configuration, vous devez ajouter ceci
<mvc:annotation-driven>
<mvc:argument-resolvers>
<bean class="CurrentUserHandlerMethodArgumentResolver"/>
</mvc:argument-resolvers>
</mvc:annotation-driven>
@Voir Utilisation de l'interface Spring MVC 3.1 HandlerMethodArgumentResolver
Solution Spring-Security 3.2
Spring Security 3.2 (ne pas confondre avec Spring 3.2) a sa propre solution intégrée: @AuthenticationPrincipal
(org.springframework.security.web.bind.annotation.AuthenticationPrincipal
). Ceci est bien décrit dans la réponse de Lukas Schmelzeisen
C'est juste écrire
ModelAndView someRequestHandler(@AuthenticationPrincipal User activeUser) {
...
}
Pour que cela fonctionne, vous devez enregistrer le AuthenticationPrincipalArgumentResolver
( org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver
): soit en "activant" @EnableWebMvcSecurity
soit en enregistrant ce bean dans mvc:argument-resolvers
- de la même manière que je l'ai décrit avec la solution Spring 3.1 ci-dessus.
@ Voir Spring Security 3.2 Reference, Chapter 11.2. @AuthenticationPrincipal
Solution Spring-Security 4.0
Cela fonctionne comme la solution Spring 3.2, mais dans Spring 4.0, @AuthenticationPrincipal
et a AuthenticationPrincipalArgumentResolver
été "déplacé" vers un autre package:
(Mais les anciennes classes dans ses anciens packs existent toujours, alors ne les mélangez pas!)
C'est juste écrire
import org.springframework.security.core.annotation.AuthenticationPrincipal;
ModelAndView someRequestHandler(@AuthenticationPrincipal User activeUser) {
...
}
Pour que cela fonctionne, vous devez enregistrer le ( org.springframework.security.web.method.annotation.
) AuthenticationPrincipalArgumentResolver
: soit en "activant", @EnableWebMvcSecurity
soit en enregistrant ce bean dans mvc:argument-resolvers
- de la même manière que je l'ai décrit avec la solution Spring 3.1 ci-dessus.
<mvc:annotation-driven>
<mvc:argument-resolvers>
<bean class="org.springframework.security.web.method.annotation.AuthenticationPrincipalArgumentResolver" />
</mvc:argument-resolvers>
</mvc:annotation-driven>
@Voir Spring Security 5.0 Reference, Chapter 39.3 @AuthenticationPrincipal