Путь запроса по внутренностям Spring Security

[javamain]

монументально, очень интересная статья была бы если бы не барьер в профессионализме. Если честно, то ни чего не понять. Сам программирую на java se, но в анотаторах не силен, как и в технологиях в целом.

[shomnest]

Чем вам тут не Java SE?

[sleshdev]

Спасибо, пользительно. Один момент:
«Все просто, мы запускали методы на которые на которых нет csrf защиты»
исправьте пожалуйста.

[sleshdev]

почему минус?

[Borz]

об опечатках тут принято в личку писать

[Leffchik]

Спасибо, интересно. Пара моментов:

1. SecurityContextPersistenceFilter — думаю, что тут можно ещё упомянуть, что он не только заполняет SecurityContextHolder, но и сохраняет его значение обратно в репозиторий (в сессию в дефолтной имплементации) по окончании запроса. То есть, все манипуляции с SecurityContext во время запроса будут сохранены с помощью этого же фильтра.

2. Не вызывайте SecurityContextHolder.getContext().getAuthentication(); для получения текущего юзера

   
   По поводу этого пункта и своего HandlerMethodArgumentResolver — думаю, также можно упомянуть, что с четвертого спринга для этих целей есть аннотация @AuthenticationPrincipal и, соответственно, AuthenticationPrincipalArgumentResolver.
   

[krasavchikp_a_s]

Добрый день! Что скажете о UsernamePasswordAuthenticationFilter? Он вроде тоже должен быть в цепочке фильтров, или нет?