从春季安全会话序列化中排除属性？

Posted 2023-02-27

【中文标题】从春季安全会话序列化中排除属性？

【英文标题】：Exclude properties from spring security session serialization?

【发布时间】：2013-10-28 01:30:57

【问题描述】：

对于 grails 应用程序，我们正在使用 spring 安全插件，并计划使用 amazon redis 存储来存储用户会话。这是功能性的，除了当前序列化到存储的用户会话对象包括所有属性，包括密码，都是明文的。

似乎密码属性无论如何都不应该被序列化 - 对吗？如果是这样，有没有办法在grails中使用spring security从会话序列化中排除属性？

【问题讨论】：

这可能会对您有所帮助：***.com/questions/6899566/…

【参考方案1】：

有一个设置可以在认证成功后从认证中清除密码。在 Spring Security 3.0 中默认为 false，但可以启用：

grails.plugins.springsecurity.providerManager.eraseCredentialsAfterAuthentication = true

这在插件的 2.0 版本中默认为 true，所以如果你升级你可以省略这个覆盖。