spring-security：创建没有 HTTP 请求的会话？

Question

是否可以在 Spring Security 框架内创建一个没有关联 HTTP 请求的会话？我正在开发一个部署在 Tomcat 上的应用程序，但用户通过持久的 SIP 连接访问它。到目前为止，我已经编写了自己的会话管理代码，但想知道是否可以将其委托给 Spring Security。

Apache Shiro 的会话实现具有“异构客户端访问”，允许任何类型的客户端访问和操作会话，就像我正在寻找的那样。

Answer 1

我很确定你想要的都是可能的。但是我不确定它会变得多么容易。

请记住，我对 Java 中的 SIP 没有任何经验。但是我已经多次扩展了 Spring Security。您需要采取以下一般步骤才能使其正常工作：

• 定义和配置您自己的安全链 (see the Security Filter Chain reference docs)。
• 创建一个自定义 SecurityContextRepository 并将其链接到 SecurityContextPersistenceFilter。
• 您可能无法使用许多过滤器，因为它们需要 HttpServletRequest (SecurityContextHolderAwareRequestFilter, RememberMeAuthenticationFilter)，因此您可能需要实现自己的过滤器。