我在项目中使用Spring 3,现在升级到Spring 4.0.3。
现在,当使用AuthenticationException.getAuthentication()
时,它说它已被弃用,但找不到替代方法。这是代码:
public ModelAndView init(HttpServletRequest request, HttpServletResponse response) {
AuthenticationException exception = (AuthenticationException) request.getSession().getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
Authentication loginAuthentication = exception.getAuthentication();
// Set the user name for the change password screen
return new ModelAndView("common/changePassword", "userName", loginAuthentication.getPrincipal());
}
同样不建议使用
setAuthentication(authentication)
方法。这两种方法有其他选择吗?
最佳答案
没有替代方法,因为此方法存在安全风险。
3.x版本的latest Javadoc表示:
不推荐使用@,以避免潜在的敏感信息泄漏(例如,通过序列化/远程处理)。
任何依赖于此的代码都需要重新考虑一下。