Spring Security 使用自定义身份验证提供程序记住我

Question

我正在使用带有 Spring Security 的 GWT。我有一个自定义身份验证提供程序，我在其中执行所有身份验证。如何在不使用 UserDetailsS​​ervice 的情况下配置记住我功能？我没有使用 LDAP。

我的 AppliationContext_security.xml

<http auto-config="true" entry-point-ref="UnauthorizedEntryPoint"
    create-session="always">
    <form-login authentication-success-handler-ref="authenticationSuccessHandler"
        authentication-failure-handler-ref="authenticationFailureHandler" />
    <logout success-handler-ref="logoutSuccessHandler"
        invalidate-session="true" />
    <intercept-url pattern="/**/myapp.rpc" access="ROLE_USER" />

    <custom-filter before="CONCURRENT_SESSION_FILTER" ref="XSRFAttackFilter" />

</http>

<authentication-manager>        
    <authentication-provider ref="myAuthenticationProvider" />
</authentication-manager>

在我的自定义身份验证提供程序中，

@Override
public Authentication authenticate(Authentication authentication)
        throws AuthenticationException {
    String username = (String) authentication.getPrincipal();
    String password = (String) authentication.getCredentials();

    boolean response = loginmanager.authenticateUser(username, password,
            ((ServletRequestAttributes) RequestContextHolder
                    .getRequestAttributes()).getRequest().getSession());
    if (!response) {
        throw new BadCredentialsException(
                "Invalid Credentials.");
    }

    Authentication authentication = ...
    authentication.setAuthenticated(true);

    return authentication;
}

任何帮助将不胜感激。

Answer 1

您需要创建一个自定义UserDetailsService，从您的loginmanager 读取用户名/密码的同一位置获取用户名/密码。查看TokenBasedRememberMeServices.processAutoLoginCookie() 的源代码，了解它是如何使用的。