Programing

Spring에서 세션 객체를 어떻게 얻습니까?

lottogame 2020. 10. 5. 07:30
반응형

Spring에서 세션 객체를 어떻게 얻습니까?

저는 Spring 과 Spring 보안에 비교적 익숙하지 않습니다.

Spring 보안을 사용하여 서버 끝에서 사용자를 인증해야하는 프로그램을 작성하려고했습니다.

나는 다음을 생각 해냈다.

public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider{
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
                    throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
    }
}

내 사용 사례는 사용자가 인증 될 때 다음과 같은 속성을 배치해야한다는 것입니다.

session.setAttribute("userObject", myUserObject);

myUserObject는 여러 사용자 요청에서 서버 코드를 통해 액세스 할 수있는 일부 클래스의 개체입니다.

여기 당신의 친구는 org.springframework.web.context.request.RequestContextHolder

// example usage
public static HttpSession session() {
    ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
    return attr.getRequest().getSession(true); // true == allow create
}

이것은 표준 spring mvc 디스패치 서블릿에 의해 채워지지만 다른 웹 프레임 워크를 사용하는 경우 홀더를 관리 org.springframework.web.filter.RequestContextFilter하기 web.xml위해 필터로 추가 해야합니다.

편집 : 당신이 실제로 무엇을하려고 측면의 문제로, 나는 확실히 당신이 액세스가 필요합니다 아니에요 HttpSession에서 retieveUser의 방법을 UserDetailsService. Spring 보안은 UserDetails 객체를 세션에 넣습니다. 에 액세스하여 검색 할 수 있습니다 SecurityContextHolder.

public static UserDetails currentUserDetails(){
    SecurityContext securityContext = SecurityContextHolder.getContext();
    Authentication authentication = securityContext.getAuthentication();
    if (authentication != null) {
        Object principal = authentication.getPrincipal();
        return principal instanceof UserDetails ? (UserDetails) principal : null;
    }
    return null;
}

Spring을 사용하고 있으므로 Spring을 고수하고 다른 게시물 위치처럼 직접 해킹하지 마십시오.

봄 설명서는 말한다 :

보안을 위해 HttpSession과 직접 상호 작용해서는 안됩니다. 그렇게하는 이유는 간단하지 않습니다. 대신 항상 SecurityContextHolder를 사용하십시오.

세션 액세스를위한 권장 모범 사례는 다음과 같습니다.

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}

여기서 핵심은 Spring과 Spring Security가 Session Fixation Prevention과 같은 모든 종류의 훌륭한 기능을 수행한다는 것입니다. 이러한 것들은 사용하도록 설계된 Spring 프레임 워크를 사용하고 있다고 가정합니다. 따라서 서블릿에서 위의 예와 같이 컨텍스트를 인식하고 세션에 액세스하십시오.

세션 범위에 일부 데이터를 숨길 필요가 있다면 이 예제같이 세션 범위 빈을 만들어 autowire가 마법을 수행하도록하십시오. :)

실제로 다음을 수행하여 HttpSessionLisener에서 세션이 소멸되는 경우에도 세션의 정보에 액세스 할 수 있습니다. 

public void sessionDestroyed(HttpSessionEvent hse) {
    SecurityContextImpl sci = (SecurityContextImpl) hse.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
    // be sure to check is not null since for users who just get into the home page but never get authenticated it will be
    if (sci != null) {
        UserDetails cud = (UserDetails) sci.getAuthentication().getPrincipal();
        // do whatever you need here with the UserDetails
    }
 }

또는 다음과 같이 HttpSession 개체를 사용할 수있는 모든 곳에서 정보에 액세스 할 수도 있습니다.

SecurityContextImpl sci = (SecurityContextImpl) session().getAttribute("SPRING_SECURITY_CONTEXT");

마지막으로 다음과 같은 것을 가정합니다.

HttpSession sesssion = ...; // can come from request.getSession(false);

나는 내 자신의 유틸리티를 만들었다. 편리합니다. :)

package samples.utils;

import java.util.Arrays;
import java.util.Collection;
import java.util.Locale;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import javax.sql.DataSource;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.NoSuchBeanDefinitionException;
import org.springframework.beans.factory.NoUniqueBeanDefinitionException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationEventPublisher;
import org.springframework.context.MessageSource;
import org.springframework.core.convert.ConversionService;
import org.springframework.core.io.ResourceLoader;
import org.springframework.core.io.support.ResourcePatternResolver;
import org.springframework.ui.context.Theme;
import org.springframework.util.ClassUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.LocaleResolver;
import org.springframework.web.servlet.ThemeResolver;
import org.springframework.web.servlet.support.RequestContextUtils;


/**
 * SpringMVC通用工具
 * 
 * @author 应卓(yingzhor@gmail.com)
 *
 */
public final class WebContextHolder {

    private static final Logger LOGGER = LoggerFactory.getLogger(WebContextHolder.class);

    private static WebContextHolder INSTANCE = new WebContextHolder();

    public WebContextHolder get() {
        return INSTANCE;
    }

    private WebContextHolder() {
        super();
    }

    // --------------------------------------------------------------------------------------------------------------

    public HttpServletRequest getRequest() {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        return attributes.getRequest();
    }

    public HttpSession getSession() {
        return getSession(true);
    }

    public HttpSession getSession(boolean create) {
        return getRequest().getSession(create);
    }

    public String getSessionId() {
        return getSession().getId();
    }

    public ServletContext getServletContext() {
        return getSession().getServletContext();    // servlet2.3
    }

    public Locale getLocale() {
        return RequestContextUtils.getLocale(getRequest());
    }

    public Theme getTheme() {
        return RequestContextUtils.getTheme(getRequest());
    }

    public ApplicationContext getApplicationContext() {
        return WebApplicationContextUtils.getWebApplicationContext(getServletContext());
    }

    public ApplicationEventPublisher getApplicationEventPublisher() {
        return (ApplicationEventPublisher) getApplicationContext();
    }

    public LocaleResolver getLocaleResolver() {
        return RequestContextUtils.getLocaleResolver(getRequest());
    }

    public ThemeResolver getThemeResolver() {
        return RequestContextUtils.getThemeResolver(getRequest());
    }

    public ResourceLoader getResourceLoader() {
        return (ResourceLoader) getApplicationContext();
    }

    public ResourcePatternResolver getResourcePatternResolver() {
        return (ResourcePatternResolver) getApplicationContext();
    }

    public MessageSource getMessageSource() {
        return (MessageSource) getApplicationContext();
    }

    public ConversionService getConversionService() {
        return getBeanFromApplicationContext(ConversionService.class);
    }

    public DataSource getDataSource() {
        return getBeanFromApplicationContext(DataSource.class);
    }

    public Collection<String> getActiveProfiles() {
        return Arrays.asList(getApplicationContext().getEnvironment().getActiveProfiles());
    }

    public ClassLoader getBeanClassLoader() {
        return ClassUtils.getDefaultClassLoader();
    }

    private <T> T getBeanFromApplicationContext(Class<T> requiredType) {
        try {
            return getApplicationContext().getBean(requiredType);
        } catch (NoUniqueBeanDefinitionException e) {
            LOGGER.error(e.getMessage(), e);
            throw e;
        } catch (NoSuchBeanDefinitionException e) {
            LOGGER.warn(e.getMessage());
            return null;
        }
    }

}

다음 코드로 시도하고 훌륭하게 작동합니다. 

    import org.springframework.security.core.Authentication;
    import org.springframework.security.core.context.SecurityContextHolder;
    import org.springframework.stereotype.Controller;
    import org.springframework.ui.ModelMap;
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RequestMethod;

    /**
     * Created by jaime on 14/01/15.
     */

    @Controller
    public class obteinUserSession {
        @RequestMapping(value = "/loginds", method = RequestMethod.GET)
        public String UserSession(ModelMap modelMap) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            String name = auth.getName();
            modelMap.addAttribute("username", name);
            return "hellos " + name;
        }

If all that you need is details of User, for Spring Version 4.x you can use @AuthenticationPrincipal and @EnableWebSecurity tag provided by Spring as shown below.

Security Configuration Class:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   ...
}

Controller method:

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal User user) {
    ...
}

ServletRequestAttributes attr = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
attr.getSessionId();

In my scenario, I've injected the HttpSession into the CustomAuthenticationProvider class like this

public class CustomAuthenticationProvider extends  AbstractUserDetailsAuthenticationProvider{

    @Autowired 
    private HttpSession httpSession;

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken)
             throws AuthenticationException
    {
        System.out.println("Method invoked : additionalAuthenticationChecks isAuthenticated ? :"+usernamePasswordAuthenticationToken.isAuthenticated());
    }

    @Override
    protected UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException 
    {
        System.out.println("Method invoked : retrieveUser");
        //so far so good, i can authenticate user here, and throw exception 
if not authenticated!!
        //THIS IS WHERE I WANT TO ACCESS SESSION OBJECT
        httpSession.setAttribute("userObject", myUserObject);
    }
}

참고URL : https://stackoverflow.com/questions/1629211/how-do-i-get-the-session-object-in-spring

반응형

'Programing' 카테고리의 다른 글

파이썬은 튜플을 문자열로 변환  (0) 2020.10.05
StringFormat을 사용한 WPF 바인딩이 도구 설명에서 작동하지 않습니다.  (0) 2020.10.05
Eclipse에서 단어를 선택하는 단축키  (0) 2020.10.05
별도의 문자열에서 전체 경로 문자열을 (안전하게) 만드는 방법은 무엇입니까?  (0) 2020.10.05
rails-json 고안 요청에 대한 "경고 : CSRF 토큰 인증을 확인할 수 없습니다"  (0) 2020.10.05

'Programing'의 다른글

  • 현재글Spring에서 세션 객체를 어떻게 얻습니까?

관련글

댓글

티스토리툴바