この回答に掲載されている多数のソリューションに取り組んだ後、<http>
名前空間の構成を使用するときに何かを機能させるために、実際に私のユースケースで機能するアプローチを見つけました。私は実際には、Spring Securityがセッションを開始しないことを要求していません(アプリケーションの他の部分でセッションを使用しているため)。セッションの認証をまったく「記憶」していない(再確認する必要があります)すべてのリクエスト)。
そもそも、上記の「null実装」の方法を理解することができませんでした。securityContextRepositoryをnull
何もしない実装に設定するかどうかは明確ではありませんでした。前者はNullPointerException
が内でスローされるため機能しませんSecurityContextPersistenceFilter.doFilter()
。no-op実装については、想像できる最も簡単な方法で実装してみました。
public class NullSpringSecurityContextRepository implements SecurityContextRepository {
@Override
public SecurityContext loadContext(final HttpRequestResponseHolder requestResponseHolder_) {
return SecurityContextHolder.createEmptyContext();
}
@Override
public void saveContext(final SecurityContext context_, final HttpServletRequest request_,
final HttpServletResponse response_) {
}
@Override
public boolean containsContext(final HttpServletRequest request_) {
return false;
}
}
これは私ClassCastException
のresponse_
タイプのアプリケーションでは奇妙なことに関係しているため、機能しません。
(単にコンテキストをセッションに格納しないことで)機能する実装を見つけることができたとしても、<http>
構成によって構築されたフィルターにそれを挿入する方法の問題がまだあります。docsのSECURITY_CONTEXT_FILTER
ように、その位置でフィルターを単純に交換することはできません。カバーの下で作成されたにフックすることがわかった唯一の方法は、醜いBean を書くことでした:SecurityContextPersistenceFilter
ApplicationContextAware
public class SpringSecuritySessionDisabler implements ApplicationContextAware {
private final Logger logger = LoggerFactory.getLogger(SpringSecuritySessionDisabler.class);
private ApplicationContext applicationContext;
@Override
public void setApplicationContext(final ApplicationContext applicationContext_) throws BeansException {
applicationContext = applicationContext_;
}
public void disableSpringSecuritySessions() {
final Map<String, FilterChainProxy> filterChainProxies = applicationContext
.getBeansOfType(FilterChainProxy.class);
for (final Entry<String, FilterChainProxy> filterChainProxyBeanEntry : filterChainProxies.entrySet()) {
for (final Entry<String, List<Filter>> filterChainMapEntry : filterChainProxyBeanEntry.getValue()
.getFilterChainMap().entrySet()) {
final List<Filter> filterList = filterChainMapEntry.getValue();
if (filterList.size() > 0) {
for (final Filter filter : filterList) {
if (filter instanceof SecurityContextPersistenceFilter) {
logger.info(
"Found SecurityContextPersistenceFilter, mapped to URL '{}' in the FilterChainProxy bean named '{}', setting its securityContextRepository to the null implementation to disable caching of authentication",
filterChainMapEntry.getKey(), filterChainProxyBeanEntry.getKey());
((SecurityContextPersistenceFilter) filter).setSecurityContextRepository(
new NullSpringSecurityContextRepository());
}
}
}
}
}
}
}
とにかく、非常にハックではありますが、実際に機能するソリューションです。を使用しFilter
て、HttpSessionSecurityContextRepository
が処理するときにが検索するセッションエントリを削除します。
public class SpringSecuritySessionDeletingFilter extends GenericFilterBean implements Filter {
@Override
public void doFilter(final ServletRequest request_, final ServletResponse response_, final FilterChain chain_)
throws IOException, ServletException {
final HttpServletRequest servletRequest = (HttpServletRequest) request_;
final HttpSession session = servletRequest.getSession();
if (session.getAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY) != null) {
session.removeAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY);
}
chain_.doFilter(request_, response_);
}
}
次に、構成で:
<bean id="springSecuritySessionDeletingFilter"
class="SpringSecuritySessionDeletingFilter" />
<sec:http auto-config="false" create-session="never"
entry-point-ref="authEntryPoint">
<sec:intercept-url pattern="/**"
access="IS_AUTHENTICATED_REMEMBERED" />
<sec:intercept-url pattern="/static/**" filters="none" />
<sec:custom-filter ref="myLoginFilterChain"
position="FORM_LOGIN_FILTER" />
<sec:custom-filter ref="springSecuritySessionDeletingFilter"
before="SECURITY_CONTEXT_FILTER" />
</sec:http>