Comments 7
монументально, очень интересная статья была бы если бы не барьер в профессионализме. Если честно, то ни чего не понять. Сам программирую на java se, но в анотаторах не силен, как и в технологиях в целом.
Спасибо, пользительно. Один момент:
«Все просто, мы запускали методы на которые на которых нет csrf защиты»
исправьте пожалуйста.
«Все просто, мы запускали методы на которые на которых нет csrf защиты»
исправьте пожалуйста.
Спасибо, интересно. Пара моментов:
- SecurityContextPersistenceFilter — думаю, что тут можно ещё упомянуть, что он не только заполняет SecurityContextHolder, но и сохраняет его значение обратно в репозиторий (в сессию в дефолтной имплементации) по окончании запроса. То есть, все манипуляции с SecurityContext во время запроса будут сохранены с помощью этого же фильтра.
Не вызывайте SecurityContextHolder.getContext().getAuthentication(); для получения текущего юзера
По поводу этого пункта и своего HandlerMethodArgumentResolver — думаю, также можно упомянуть, что с четвертого спринга для этих целей есть аннотация @AuthenticationPrincipal и, соответственно, AuthenticationPrincipalArgumentResolver.
Добрый день! Что скажете о UsernamePasswordAuthenticationFilter? Он вроде тоже должен быть в цепочке фильтров, или нет?
Sign up to leave a comment.
Путь запроса по внутренностям Spring Security