Spring security @PreAuthorize如何在反应式应用程序中工作,或者如何在没有ThreadLocal的情况下生存?
您能否解释一下,通知处理Spring security @PreAuthorize如何在反应式应用程序中工作,或者如何在没有ThreadLocal的情况下生存?,spring-security,spring-webflux,Spring Security,Spring Webflux,您能否解释一下,通知处理@PreAuthorize(“hasRole('ADMIN')”)在反应式应用程序中从何处检索SecurityContext 下面的Spring Security示例很好地说明了这种用法: 在检查Spring Security Webflux源代码之后,我发现了一些SecurityContextRepository的实现,但是加载方法需要ServerWebExchange作为参数 我试图理解如何替换标准服务中的调用SecurityContextHolder.getCont
@PreAuthorize(“hasRole('ADMIN')”)SecurityContextSecurityContextRepositoryServerWebExchange我试图理解如何替换标准服务中的调用
SecurityContextHolder.getContext().getAuthentication()ThreadLocalSecurityContextRepositoryServerWebExchangeThreadLocalServerWebExchange@PreAuthorizeMonoFlux订阅者SecurityContextHolder您还可以看到一个示例。我实现了一个JwtAuthenticationConverter(kotlin): 您可以使用此方法自定义AuthenticationConverter,就像我对基于jwt的身份验证所做的那样,以设置所需的身份验证对象。以反应式方式提供身份验证,类似于 它的方法提供了一个,就像提供了一个
SecurityContextReactiveSecurityContextHolder
.getContext()
.map(context ->
context.getAuthentication()
返回Mono/Flux必须返回到Spring(在控制器中),以便填充上下文。请参阅
val authFilter = AuthenticationWebFilter(ReactiveAuthenticationManager {
authentication: Authentication -> Mono.just(authentication)
})
authFilter.setAuthenticationConverter(jwtAuthenticationConverter)
http.addFilterAt( authFilter, SecurityWebFiltersOrder.AUTHENTICATION)
ReactiveSecurityContextHolder
.getContext()
.map(context ->
context.getAuthentication()