spring websocket 调用受权限保护的方法失败
版本
spring-security 5.6.10
spring-websocket 5.3.27
现象
通过AbstractWebSocketHandler实现websocket端点处理器
调用使用@PreAuthorize注解的方法报错,无法在SecurityContext中找到认证信息
org.springframework.security.authentication.AuthenticationCredentialsNotFoundException
An Authentication object was not found in the SecurityContext
原因
调用websockethandler的线程非用户会话线程,所以安全上下文中没有认证信息
解决
在处理消息时将WebsocketSession中保存的认证信息设置到SecurityContext中
import org.springframework.web.socket.handler.AbstractWebSocketHandler;
public class MyWsHandler extends AbstractWebSocketHandler {public void handleMessage(WebSocketSession session, WebSocketMessage<?> message) throws Exception {// 在安全上下文中设置认证信息SecurityContextHolder.getContext().setAuthentication((Authentication)session.getPrincipal());super.handleMessage(session, message);}protected void handleTextMessage(WebSocketSession session, TextMessage message) throws Exception {// 调用受保护的方法this.service.doSomething();}
}