Ajouter une autorité principale/dynamique pour un utilisateur anonyme

Question

J'utilise spring security 2.x (+ spring + struts2) et je souhaite activer l'ajout dynamique d'autorité à l'utilisateur après la soumission d'un formulaire par l'utilisateur.

J'ai un répertoire protégé (/ protégé/dir /) qui est protégé par ROLE_USER

<sec:intercept-url pattern="/protected/dir/**" access="ROLE_USER, ROLE_ADMIN" /> 

Quel utilisateur peut accéder après leur connexion. Je souhaite que cela soit accessible à l'utilisateur qui a envoyé le formulaire (sans se connecter) en ajoutant un ROLE_TEMP temporaire au principal (qui peut même ne pas exister, puisque l'utilisateur ne s'est pas connecté, donc je dois ajoutez cela aussi au securityContext)

J'ai essayé d'accéder à SecurityContext et d'ajouter un nouveau principal dans mon contrôleur/classe d'action. mais je suis incapable d'obtenir SecurityContext. (Je pense que SecurityContext ne fonctionne que sur son propre thread et vous ne pouvez pas le passer, c'est pourquoi j'ai obtenu NPE)

Alors, quelle est la meilleure façon de le faire?

S'il vous plaît conseiller Merci

Answer 1

Une façon d'aider les utilisateurs anonymes est d'ajouter ce filtre:

/** 
* Detects if there is no Authentication object in the SecurityContextHolder, 
* and populates it with one if needed. 
*/ 
org.springframework.security.providers.anonymous.AnonymousProcessingFilter 

Le filtre a cet attribut qui forcera le filtre pour enlever la session anonyme après la demande est complete:

public void setRemoveAfterRequest(boolean removeAfterRequest);