jsf spring安全用户信息

Question

我是 Spring Security 的新手。我正在使用带有spring security 3的jsf2。三个问题：

1. 如何从会话管理的 bean 访问当前登录用户的用户信息（名称、密码、角色）？

   为了在视图中使用它，例如根据用户的角色渲染元素。

2. 我如何知道用户是否已登录？如果用户未登录，则为了在视图中显示“登录链接”，如果用户已登录，则显示“注销链接”。我必须在我的托管 bean 中使用 Spring Security 的哪个属性来存储它信息并在视图中使用它？

3. “登录链接”只是对登录页面 URL 的 GET 请求。但是我怎样才能显示“注销链接”？是否必须是 POST 请求并像这样使用“h:commandLink”？：

   <h:commandLink value="Logout" action="#{request.contextPath}/j_spring_security_logout" />
   

   或者可以是 GET 请求吗？：

   <h:link value="Logout" outcome="#{request.contextPath}/j_spring_security_logout" />
   

非常感谢您。

Answer 1

1. 对象认证是谁保存这个属性，你可以在你的 managedBean 的下一行获得：

   Authentication auth = SecurityContextHolder.getContext().getAuthentication();

2. 如果用户的身份验证不是AnonymousAuthenticationToken 的实例，则用户会被记录，在您的spring-security-context.xml 中，您必须定义Spring 拦截的url。

   第一个拦截器没有被 Spring 分析。在这种情况下，Authentication 对象是 AnonymousAuthenticationToken 的一个实例。

   第二个拦截器被Spring解析，用户被重定向到spring-security-context.xml声明的登录页面

   /* This is a example for to obtain the rol name for example for generate automatic menu */
   Authentication auth = SecurityContextHolder.getContext().getAuthentication();
   String namePrincipalRol = null;
   if (auth instanceof AnonymousAuthenticationToken) {
       namePrincipalRol = "ROLE_ANONYMOUS";
   } else {
       namePrincipalRol = auth.getAuthorities().iterator().next().getAuthority();
   }
   

3. 好问题，我不确定，但我想我记得读过它必须是 POST，尝试一下会很有趣。我使用 h:outputLink

亲切的问候。