檢查Spring Security中現有的HttpSession

Question

是否可以通過在Spring Security中檢查現有的HttpSession來驗證用戶？我希望用戶通過CAS在一個URL（http://example.com/auth）進行身份驗證，但不能訪問其他URL。例如，如果他們直接去http://example.com/content，那麼我想檢查HttpSession並返回一個401未經授權的代碼，如果他們還沒有登錄CAS。如果他們已經進入了/ auth頁面並登錄，那麼去/ content將返回內容。這樣做的主要原因是爲了避免在認證期間CAS引起的任何重定向。

我對Spring Security很陌生，無法弄清楚我是否需​​要一個自定義的AuthenticationManager，AuthenticationEntryPoint，或者其他的東西。 AuthenticationManager沒有辦法讓我訪問HttpSession，而AuthenticationEntryPoint似乎不是實現這個功能的正確地方。

任何想法？

Answer 1

Spring Security未使用HTTP會話。 相反，你可以方便地調用這個靜態方法：

SecurityContextHolder.getContext().getAuthentication(); 

坦率地說，我認爲，你需要配置Spring Security正確，以避免檢查驗證和手動重定向到其他頁面。