如何使用 Spring security OpenID 进行身份验证时携带字符串值

Question

我已经为此工作好几天了，希望有人能帮助我。

认证处理有三个要求。

1. 使用OpenID进行身份验证，登录页面是login.jsp。登录成功后，在login-succ.jsp中显示用户名和电子邮件地址
2. login.jsp中有一个输入字段，如果登录成功，我还需要在login-succ.jsp中显示mymessage的值
3. 登录成功后，用户位于login-succ.jsp 中，其中包含他的用户名电子邮件地址和mymessage 值。如果用户刷新login-succ.jsp页面，这三个值应该再次显示。

我尝试在另一个 post，但是如果我将消息保存到会话中并且有两个 login.jsp 实例，则这两个实例将在刷新操作后相互覆盖消息值。我不知道我是否做错了一切。那么有人可以给我一些关于如何使用 Spring security 和 Spring MVC 满足这三个要求的建议吗？

谢谢。

Answer 1

对我来说，这感觉就像是一个乞求某种类型的注入攻击的设计（在页面上盲目地向用户显示 URL 参数是一个非常的坏主意）。

相反，我会在用户重定向到 OpenID 登录之前将消息粘贴到 HttpSession 中，并在成功重定向后检索消息。显然，您需要代码来在失败、注销等情况下清除会话中的消息。