Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截

╰+哭是因爲堅強的太久メ 2022-12-01 05:19 288阅读 0赞

# 背景  #

最近在使用Spring security 做一个系统的SSO认证代理（另一个项目组开发的，基于 filter 拦截器检查session中是否已有用户登录信息），如果已在SSO登录的话，则直接跳过SSO的认证。由于Spring security也是基于拦截器的，SSO的需要在拦截器在spring  security的登录检查拦截器之前，**在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器，**在研究了一下spring security的源代码之后，发现spring security的登录信息是保存在session的一个SecurityContext里面 ，因此有了以下的骚操作。

# 上代码 #

// 获取spring security上下文
            SecurityContext context = SecurityContextHolder.getContext();
            
            //创建一个用户信息
            UserDetails userDetails = new User(ssoUserCache.getUserName(), passwordEncoder.encode(AuthorizationCommon.SSO_DEFAULT_PASSWORD), AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));
    
            // 使用 UsernamePasswordAuthenticationToken 认证
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(userDetails,userDetails.getPassword(), userDetails.getAuthorities());
    
            // 把这个认证保存到spring security上下文
            context.setAuthentication(authRequest);
            // 把spring security上下文保存到 session 中，重要！重要！重要！没有这一步上面的都是白瞎
            session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,context);

**如果对您有帮助的话，记得帮点赞哦**