1
- :私のサイトを訪問し、それぞれの新しいユーザーに対して
私はMyUserとオブジェクトを作成します(このクラスはで構成されてかは重要ではありません)とDBにそれを持続。春のセキュリティ:各匿名ユーザーを永続化する方法は?私は必要なもの
そして、私は同じsessionIdを持つユーザーが自分のサイトに来るたびにこのオブジェクトを使用します。
私にとっては、anonymousAuthenticationとほとんど同じです。だから私はそれを無効にし、自分のフィルターに置き換え:
<http auto-config="true">
...
<anonymous enabled="false"/>
<custom-filter ref="userGeneratorFilter" position="ANONYMOUS_FILTER"/>
</http>
私はSecurityContextが以前に認証されたユーザのための主要な含まれていることを考えたが、それは要求ごとにそれを手動で追加フィルターチェーンのよりフィルタのいずれかのように見えます。
言い換えれば、私は私のUserGeneratorFilter.doFilterに
SecurityContextHolder.getContext().getAuthentication() == null;
を取得するたびに、どのように私は新しいMyUserとオブジェクトを作成したり、データベースから既存のものを取る必要があるかどうかを理解することができますか?
ps。私は間違った方法を選択したと思う=(私の仕事についての言葉はほとんどありません。権限のないユーザーには私のリソースへのアクセスが制限されていることを望みますが、登録すると、ただ、CookieIDまたはAのようなもので期限切れになりませんクッキーを設定したアカウント。=
私はその文のモデレーターを書くたびに、それを削除します。ご清聴ありがとうございました。しかし、私はそれを書いて停止することはありません)
セッション固定保護は、誰かが認証されたユーザーのセッションをハイジャックするのを防ぐためのものです。これは、認証されていないユーザーを特定するのにはあまり関係ありません。 –