Grails的春季安全插件 - 用戶名逃避問題

Question

我目前使用Grails和Spring安全插件工作，努力實現一個密碼過期的工作流程。我已經配置了插件如預期：

grails.plugins.springsecurity.failureHandler.exceptionMappings = [ 
    'org.springframework.security.authentication.CredentialsExpiredException': '/login/passwordExpired' 
] 

，在我passwordExpired行動，如果我稱之爲：

def username = session['SPRING_SECURITY_LAST_USERNAME'] 

然後在用戶名中的HTML特殊字符會被轉義像

my_user => my_user 
my-user => my-user 

是否有可能把這個逃跑了嗎？

Ritesh在這裏提到spring_security_last_username SPRING_SECURITY_LAST_USERNAME已棄用，那我還能用什麼？

任何幫助，在此先感謝！

Answer 1

絃樂'SPRING_SECURITY_LAST_USERNAME'不會被棄用 - 老常與價值，並已移到一個新的名稱，但相同的值。所以你的代碼將繼續有效。

而不是改變的東西無法逃避，你可以很容易地取消逃脫

import org.apache.commons.lang.StringEscapeUtils 
... 
String username = StringEscapeUtils.unescapeHtml(session['SPRING_SECURITY_LAST_USERNAME']) 

Answer 2

你並不需要使用的工具。使用Grails HTML編解碼器：

username = session['SPRING_SECURITY_LAST_USERNAME']?.decodeHTML()