erase-credentials配置

时间：2016-12-22 06:23:57 阅读：507 评论：0 收藏：0 [点我收藏+]

转自：Spring Security怎样不让默认的ProviderManager清除密码等信息

<authentication-manager erase-credentials="false">
...
</authentication-manager>

erase-credentials默认为true，会在ProviderManager（默认的AuthenticationManager实现）的方法

public Authentication authenticate(Authentication authentication) throws AuthenticationException

返回前调用

((CredentialsContainer)result).eraseCredentials();

清除credentials等信息，所以我们使用

SecurityContextImpl securityContextImpl = (SecurityContextImpl) request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
Authentication authentication = securityContextImpl.getAuthentication();
// 登录密码，未加密的
String password = (String)(authentication.getCredentials());

password总是为null。

将erase-credentials设置为false后，不会清除这些保密信息，但是建议在使用完之后自己调用eraseCredentials()清楚这些信息。

erase-credentials配置

原文：http://www.cnblogs.com/drizzlewithwind/p/6209526.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)