在我的應用程序中，我有兩個不同的身份驗證網關，它們分別工作得很好：OAuth 1.0 ( service-to-service ) 將 ROLE_OAUTH 提供給用戶；在這里，我對用戶一無所知，只有一些關于它在 Principal 對象中使用的服務的上下文信息；為用戶提供 ROLE_USER 的標準基于表單的身份驗證；在這里，我有關于我的用戶的完整信息，但沒有關于它在 Principal 對象中使用的服務的上下文信息；現在我想實現兩步身份驗證：1）OAuth 然后基于表單。復雜性在于，我不想在步驟 1 (OAuth) 之后丟失存儲在 Principal 中的特定于上下文的信息；我只想在完成基于表單的身份驗證后將一些新的用戶特定信息添加到安全上下文以及一個新角色 ROLE_USER，所有這些都在同一個身份驗證會話中。能否順利實施？如何在第二步（基于表單的身份驗證）中提取現有的 Principal 信息并將其添加到新的 Principal 中？有沒有不重新發明輪子的“模板解決方案”？我目前的直接解決方案是：我已經通過角色 ROLE_OAUTH 驗證了用戶并打開了身份驗證會話；為二維步驟創建一個單獨的路徑，例如/oauth/login；用戶輸入他的憑據后，我在控制器中的安全鏈之外處理它們，手動檢查憑據；如果成功，手動更新安全上下文而不丟失身份驗證會話，然后將用戶重定向到請求的受 ROLE_USER 保護的資源；但我不喜歡它，這似乎很蹩腳，因為我必須手動處理第二個安全請求..如何以 Spring-ish 的方式正確實現這一點？謝謝你。PS由于遺留原因，我必須使用 Oauth 1.0，無法將其升級到 v.2 或任何其他解決方案。