标签：spring-security spring httpinvoker

我有一个运行在tomcat 7上的Swing客户端和一个服务器,它们使用Spring(3.1)HTTP调用程序相互通信.到目前为止,该通信工作正常(即使使用TSL也可以),但是现在我试图添加Spring Security.

旁注：在典型的Web应用程序中,我将使用基本身份验证来对用户进行身份验证.在我的CustomAuthenticationProvider为用户返回一个Authentication对象之后,一切都“正常”,这意味着在每个进一步的请求上,都会自动设置SecurityContext.我想该登录将一个会话密钥返回给客户端,该密钥在每次请求中发送以标识会话.

这就是我在使用HTTP-Invoker寻找的东西.目前,似乎我在每个请求上都有一个新的上下文,这很糟糕,因为我的customAuthenticationManager.authenticate(Authentication auth)方法非常昂贵,实际上每个用户会话只能调用一次.

任何想法？

编辑我在http://forum.springsource.org/showthread.php?10764-Maintaing-State-while-using-HttpInvoker上发现了一些提示,但是由于此链接已有8年的历史了,所以我希望有一个更简单的解决方案.

解决方法:

我现在找到了解决方案.首先,您需要知道spring-security部分与Web应用程序中的部分完全相同(很棒).

在客户端,您需要更复杂的HTTP客户端实现.我使用了org.springframework.remoting.httpinvoker.HttpComponentsHttpInvokerRequestExecutor.在服务器端,您可以使用< http-element的create-session =“ always”-属性来确保始终创建会话.但是,我发现最好自己创建会话(只需调用httpServletRequest.getSession()即可创建会话(如果不存在的话)),因为这样您可以指定何时执行此操作.就我而言,仅当身份验证成功时,我才在我的authenticationProvider中创建会话.

标签：spring-security,spring,httpinvoker
来源： https://codeday.me/bug/20191201/2082364.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。