19
私は春のセキュリティフレームワークを使用しています。許可を更新するとすぐには効きません。私は現在のユーザー(ログアウトを意味する)を終了し、再訪問(手段のログイン)ユーザーの許可。春のセキュリティでユーザー権限を更新した後すぐに権限を有効にするにはどうすればいいですか?
春のセキュリティでユーザー権限を更新した後すぐに権限を有効にする方法はありますか?
A
答えて
0
あなたは非常にあなたの問題の正確な詳細を提供しなかったので、私はあなたが状況があるとします。ユーザーはにログインしようとするときは、UserDetailsをロードするUserDetailsServiceを供給している
- を
- このサービスの一環として、データベース/ DAOにクエリを発行して、ユーザーのアクセス許可の詳細をロードし、これに基づいて付与された権限を設定しています。
- 「権限を更新するとデータベース(またはデータを格納しているもの)のユーザーのアクセス許可を更新することを参照してください。
あなたが見ているのは、意図的なものです.Blue Securityは初めてログインするときにユーザーのUserDetailsを読み込み、それ以降はセッションに保存します。一般的には、アプリケーションが各リクエストのユーザーの詳細について同じクエリを実行する必要がないため、これは意味があります。また、ユーザーのアクセス許可は、訪問の99.9%で一般的に変更されません。
この動作を変更するには、UserDetailsServiceを再クエリし、SecurityContext内のUserDetailsを置き換える、いくつかのコード(書き込みする必要がある)をトリガーする "refresh"コマンド/ページを追加することができます。私はこれを行うための組み込みの方法があるとは思わない。
+0
あなたの仮定は正しいです。私は知っていますre-login.Perhaps私は変更することができます現在のセッションに格納するユーザーのアクセス許可。私はしようとしている.. –
0
GrantedAuthorities []へのアクセスを許可する認証メカニズムから返されるUserDetailsインターフェイスの独自の実装を作成できます。次に、新しい権限をそのUserDetailsオブジェクトに直接追加します。一度に複数のセッションを開くことができる場合(または複数のユーザーが同じ汎用ログインを共有する場合)、変更されたセッションでのみ新しいアクセス許可が表示されます。
3
ガンダルソリューションは有効ですが、完全ではありません。新しいセキュリティ権限(以前は利用できなかったページへのアクセスを許可するなど)は、新しい権限リストを含む新しい認証オブジェクト(新しいUsernamePasswordAuthenticationTokenなど)を作成する必要があります。
7
あなたは99.9%が再認証を必要としないので、あなたが注意を払う必要があります。もちろん、この
<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="alwaysReauthenticate" value="true"/>
...
</bean>
ようなあなたの AbstractSecurityInterceptorにalwaysReauthenticateを設定することができます。認証ではデータベースなどが使用されるため、パフォーマンスが低下する可能性があります。しかし、通常は、第2レベルの休止状態のようなキャッシュを持っているので、毎回userdetailsをロードすることは、当局が変更されていないすべてのケースでメモリのみの操作でなければなりません。少なくともGoogleのAppEngineのセッションではありません
UserContext userContext = (UserContext) context.getAuthentication().getPrincipal();
if (userContext != null && userContext.getUsername() != null) {
//This is my function to refresh the user details
UserDetailsBean userDetails = getUserDetailsBean(userContext.getUsername());
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication instanceof UsernamePasswordAuthenticationToken) {
UsernamePasswordAuthenticationToken auth = (UsernamePasswordAuthenticationToken) authentication;
auth.setDetails(userDetails);
}
return userDetails;
} else {
throw new ServiceException("User not authenticated");
}
request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());
:
+1
私は豆のメソッドを保護する場合、別のフィルタに同じ変更を行う必要がありますか、これは十分な? –
+1
このフィルタは、私が見ている限りWebリクエストのみです。 MEthodSecurityInterceptorを使用している場合は、自分でreauthenticateを呼び出すことができます。しかし、すべてのメソッド呼び出しがHTTPリクエストの中にあるので、すべてのメソッド呼び出しの前にこのWebフィルタをチェックしてください。 – Janning
+0
これは正解です。私は、このインターセプタを、セキュリティ設定に、
-2
あなたはこの
SecurityContextHolder.getContext().setAuthentication(SecurityContextHolder.getContext().getAuthentication());
+1
このコードを試しました。残念ながら、それは何の影響もありませんでした。 – chelder
2
を試すことができますが、あなたも、セッションを更新する必要があり、スレッドローカルコンテキストをリセットするには十分ではありません参照を更新し、スレッドのローカルを変更して自動的に更新されない場合は、手動でsession.setオブジェクトを設定する必要があります。
+0
セッション属性の更新でも機能しませんでした –
1
次のスレッドでは、ユーザー/校長すべての要求をリロードする方法について説明します。
Reload UserDetails Object from Database Every Request in Spring Security
私は上記のリンクでの質問の質問と回答の作者だ完全な開示。
関連する問題
- 1. ストレージ権限を有効にするにはどうすればよいですか?
- 2. SELECT権限なしで特定のレコードを更新するにはどうすればよいですか?
- 3. ウェブサイトのセキュリティ権限を変更する
- 4. unlimitedStorageはchromeのオプション権限APIでサポートされていません。権限でエクステンションを更新するには?
- 5. djangoの移行中にユーザー/グループに権限を追加するにはどうすればいいですか?
- 6. プロモーション後にチャンネル管理者権限を変更するにはどうすればよいですか?
- 7. どうすれば、Androidの変更権限の後に再びonCreateを防ぐことができますか?
- 8. Androidで権限を拒否した後に承諾すると、権限リクエストウィンドウが閉じないのですか?
- 9. 新しいマルチテナントアプリを作成する権限と権限システム
- 10. iOS - ユーザー権限を取得した直後にビューを更新する
- 11. ユーザー権限のないBluetoothデバイスにテキストファイルを送信するにはどうすればよいですか?
- 12. create realm権限でOpenAMでユーザーを作成するにはどうすればいいですか?
- 13. ユーザー権限に基づいてレコードを照会するにはどうすればよいですか?
- 14. 春のセキュリティ2とFormBeanのフィールド権限
- 15. Team System Web Accessの権限を適切に制限するにはどうすればよいですか?
- 16. ユーザーが決して選択しないアプリに対してロケーション権限を再度有効にするにはどうすればよいですか?
- 17. アプリフレーバに基づいてマニフェストの権限を変更するにはどうすればよいですか?
- 18. Facebook C#SDK 5.1.1 - ユーザーから権限をリクエストするにはどうすればいいですか?
- 19. Firebaseセキュリティ権限
- 20. Jenkinsのユーザー権限を管理するにはどうすればいいですか?
- 21. Facebookのユーザー権限とフレンド権限の違いは何ですか?
- 22. SalesforceでオブジェクトのユーザーのCRUD権限を確認するにはどうすればよいですか?
- 23. spring3コントローラメソッドでユーザーの現在の権限を確認するにはどうすればよいですか?
- 24. ユーザーがデバイス所有者のアプリケーションで権限を変更できないようにするにはどうすればよいですか?
- 25. 出力をブラウザにフラッシュする権限を変更するにはどうすればよいですか?
- 26. ウェブアプリでhtml5ジオロケーションAPIのユーザー権限をリクエストするにはどうすればよいですか?
- 27. ログインに権限を追加するには、SQL Serverに権限がない場合はどうすればいいですか?
- 28. MoodleでMySQL経由でユーザー権限を変更するには?
- 29. Midnight Commanderでファイル権限を再帰的に変更するにはどうすればよいですか?
- 30. Djangosユーザー権限はどのように機能しますか?
解決策の1つについては、[リアルタイムでのセキュリティで保護されたセッションの調整](http://spring.io/blog/2009/01/03/spring-security-customization-part-2-adjusting-secured-session-リアルタイムで)ポストをSpring Sourceブログに投稿します。 – Karimchik
それはしばらくかかったが、これは最終的に考え出されたと思う: http://stackoverflow.com/q/23072235/42962 – hooknc