Acegi/Spring安全是否支持getUserPrincipal()?

正如前面的用户所回答的,Spring安全性支持getUserPrincipal和isUserInRole。以下是Spring Security的工作方式。

配置弹簧时,它可以加载以下过滤器:

http://static.springframework.org/spring-security/site/reference/html/ns-config.html#filter-stack

作为标准过滤器配置的一部分, SecurityContextHolderAwareRequestFilter 已加载筛选器。

检查过滤器@ https://fisheye.springsource.org/browse/spring-security/tags/spring-security-parent-2.0.4/core/src/main/java/org/springframework/security/wrapper/SecurityContextHolderAwareRequestFilter.java?r=2514

您可以看到它包装并更改 HttpServletRequest 对象到 SecurityContextHolderAwareRequestWrapper 扩展的类 HttpServletRequestWrapper 实现 httpservletrequest(httpservletrequest) 并反馈给标准servlet过滤器-过滤器-过滤器链。自弹簧安全过滤器 应该 被配置为第一个过滤器,所有后续类将看到 SecurityContextHolderWareRequestWrapper 相反。这包括这个过滤器后面的JSP页面或servlet。

当你打电话给 isUserInRole 或 getUserPrincipal 从JSP页面、servlet或此过滤器后面的任何框架中,它调用 httpservletrequest(httpservletrequest) 从Spring Security实现。

如果你使用安全过滤器,是的。我相信这是默认行为。

您要返回的具体类取决于您的配置,但它们都通过Spring自己的org.springframework.security.authentication接口实现了主体接口,该接口对其进行了扩展。

我在Spring应用程序中使用了request.getUserPrincipal()和request.isUserInRole(),它可以无缝地工作,甚至在JSP中也是如此。

我相信SpringSecurity将这些信息存储在SecurityContext中,而不是请求中。您可以很容易地编写一个filtersecurityInterceptor,它也可以配置为将此信息添加到请求中。