Grails 3 - springSecurity reauthenticate 和 SessionRegistry

Question

我的 Grails 应用程序（由 Spring Security 插件提供支持）有一个非常基本的支持“快速登录”功能，基本上提示用户只需输入密码即可登录，而 userId 存储在加密的 cookie 中。

所以在我的控制器中我正在使用 springSecurityService.reauthenticate(userid)
手动验证用户。

我的应用程序还要求不允许并发会话。因此，与上一行一起，我添加了

def authentication = SecurityContextHolder.context.authentication
def sessions = sessionRegistry.getAllSessions(authentication.getPrincipal(), false)
// [L]
sessions.each {
    it.expireNow()
}

问题是这些重新身份验证没有反映在sessionRegistry 中的条目中，这是上面代码的问题，在sessions 中我找不到该用户的任何会话。

我目前无法解决的问题是：

• 用户 [U] 登录到位置 [A]
• [U] 登录到位置 [B] => 会话 [A] 被强制过期
• [U]不断导航/刷新[A]，提示快速登录
• [U] 再次登录到[A] => reauthenticate 被触发，sessionRegistry 没有添加任何内容
• [U]不断导航/刷新[B]，提示快速登录
• [U]再次登录[B]
• [U] 同时登录 [A] 和 [B]

我也试过添加
sessionRegistry.registerNewSession(newSessionId, authentication.getPrincipal())
在[L] 的位置，但是这个会话和重新生成的会话似乎没有任何关系。

欢迎提出任何建议！提前致谢。

配置

• Grails 3.2.4
• Spring 安全插件（核心）3.1.1

Answer 1

经过几次尝试，我想出了一个可行的解决方案

// injected dependencies
AuthenticationManager authenticationManager
SessionAuthenticationStrategy sessionAuthenticationStrategy

// code
Authentication auth = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.email, params.password))
SecurityContextHolder.context.authentication = authResult   // need to reassign to context, otherwise onAuthentication fails (wrong password)
sessionAuthenticationStrategy.onAuthentication(authResult, request, response)

诀窍似乎是调用onAuthentication，触发所有定义的请求过滤器，这依赖于我的并发会话管理。