Spring Security - Accesso programmatico senza password

Question

Sto tentando di eseguire un accesso automatico quando l'utente fa clic su un collegamento nella sua e-mail con Spring Security.

ho visto un sacco di esempi per eseguire un accesso programmatico come la seguente:

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password); 
try { 
    Authentication auth = authenticationManager.authenticate(token); 
    SecurityContextHolder.getContext().setAuthentication(auth); 
    repository.saveContext(SecurityContextHolder.getContext(), request, response); 
    rememberMeServices.loginSuccess(request, response, auth); 
.... 

Il problema che vedo è che non ho la password originale, quindi non posso creare un UsernamePasswordAuthenticationToken. Qualsiasi altro modo per accedere all'utente se non ho la password in testo semplice (ho quella che è codificata)?

Grazie in anticipo.

Answer 1

Fare attenzione che si sappia cosa si sta facendo in termini di consentire l'accesso da un collegamento all'interno di una e-mail. SMTP non è un protocollo sicuro e quindi è in genere male affidarsi a qualcuno che ha un indirizzo email come forma di autenticazione.

Non è necessario utilizzare AuthenticationManager se si sa già che sono autenticati. Invece si può semplicemente impostare l'autenticazione direttamente come illustrato di seguito:

Authentication authentication = new UsernamePasswordAuthenticationToken(user, null, 
    AuthorityUtils.createAuthorityList("ROLE_USER")); 
SecurityContextHolder.getContext().setAuthentication(authentication); 

Se volete un esempio completo, è possibile fare riferimento al SignupController nel secure mail applicazione che è stata la base per iniziare a primavera Security 3.1 (InfoQ video of presentation).