Spring Security - SPRING_SECURITY_LAST_EXCEPTION的文檔

Question

我正在使用Spring Security 3.1.0的應用程序。我需要修改的一項功能是由SPRING_SECURITY_LAST_EXCEPTION被設置爲某種類型的屬性所驅動的。我沒有看到我的組織通過此名稱設置屬性的任何代碼，所以我猜想這是由Spring Security設置的。

當我發現許多論壇消息和引用SPRING_SECURITY_LAST_EXCEPTION的'how-to'博客文章沒有解決我的實際問題時，我懷疑它不是我們編寫的名稱。 我還不能說它是屬於什麼樣的屬性，因爲我還沒有找到任何有關如何設置此屬性以及屬性的文檔。

請告訴我我在哪裏找不到解釋如何設置此屬性及其屬性的文檔。

Answer 1

類別WebAttributes包含一個名爲AUTHENTICATION_EXCEPTION的常量。這用於設置SPRING_SECURITY_LAST_EXCEPTION的名稱和SimpleUrlAuthenticationFailureHandler中的最後一個AuthenticationException的值的請求屬性或會話屬性（取決於是否使用轉發或重定向）。

注意

• 一般不使用SPRING_SECURITY_LAST_EXCEPTION錯誤消息，因爲它會顯示攻擊者可以利用的信息是個好主意。
• 我建議更新到Spring Security 3.2.7.RELEASE。這應該是被動的，並且將修復舊版本中存在的任何漏洞。最終你應該花時間更新到Spring Security 4，但是由於它包含了一些non passive changes，所以這會涉及更多一點。