@Afigan14 янв 2018 в 19:04

Путь запроса по внутренностям Spring Security

15 мин

103K

Java *

Туториал

Из песочницы

+19

Комментарии 7

@javamain 15 янв 2018 в 07:08

монументально, очень интересная статья была бы если бы не барьер в профессионализме. Если честно, то ни чего не понять. Сам программирую на java se, но в анотаторах не силен, как и в технологиях в целом.

@shomnest 15 янв 2018 в 11:23

Чем вам тут не Java SE?

@sleshdev 15 янв 2018 в 11:23

Спасибо, пользительно. Один момент:
«Все просто, мы запускали методы на которые на которых нет csrf защиты»
исправьте пожалуйста.

@sleshdev 16 янв 2018 в 15:45

почему минус?

@Borz 17 янв 2018 в 06:42

об опечатках тут принято в личку писать

@Leffchik 15 янв 2018 в 11:23

Спасибо, интересно. Пара моментов:

SecurityContextPersistenceFilter — думаю, что тут можно ещё упомянуть, что он не только заполняет SecurityContextHolder, но и сохраняет его значение обратно в репозиторий (в сессию в дефолтной имплементации) по окончании запроса. То есть, все манипуляции с SecurityContext во время запроса будут сохранены с помощью этого же фильтра.
Не вызывайте SecurityContextHolder.getContext().getAuthentication(); для получения текущего юзера

По поводу этого пункта и своего HandlerMethodArgumentResolver — думаю, также можно упомянуть, что с четвертого спринга для этих целей есть аннотация @AuthenticationPrincipal и, соответственно, AuthenticationPrincipalArgumentResolver.

@krasavchikp_a_s 17 июн 2020 в 10:17

Добрый день! Что скажете о UsernamePasswordAuthenticationFilter? Он вроде тоже должен быть в цепочке фильтров, или нет?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий