访问 Spring 的安全上下文的最佳实践
Best practice for accessing Spring's Security Context
我正在开发具有分层架构的应用程序:
演示 - 服务 - 数据访问
该服务层的许多模块需要访问当前登录的用户。让这些模块直接访问安全上下文以获得 UserDetails 对象是个好主意吗?
我在想,如果将来服务层的模块需要作为 Web 服务暴露给其他应用程序,那么获取安全上下文可能无法正常工作。
您需要更具体一些,但通常不应让整个堆栈直接访问身份验证信息。相反,如果它是一个使用面向方面的方法安全性不适用的操作,则将用户信息作为普通方法参数传递给服务层。使用适当的机制(例如 @AuthenticationPrincipal)向您的顶级外观(Web 层或您拥有的)干净地提供身份验证信息。
我正在开发具有分层架构的应用程序:
演示 - 服务 - 数据访问
该服务层的许多模块需要访问当前登录的用户。让这些模块直接访问安全上下文以获得 UserDetails 对象是个好主意吗?
我在想,如果将来服务层的模块需要作为 Web 服务暴露给其他应用程序,那么获取安全上下文可能无法正常工作。
您需要更具体一些,但通常不应让整个堆栈直接访问身份验证信息。相反,如果它是一个使用面向方面的方法安全性不适用的操作,则将用户信息作为普通方法参数传递给服务层。使用适当的机制(例如 @AuthenticationPrincipal)向您的顶级外观(Web 层或您拥有的)干净地提供身份验证信息。