Spring Security 取Session中的值和修改userDetails

转载 2015年11月17日 20:55:40
注意是SessionScrope
1.在session中取得spring security的登录用户名如下

${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}

 

spring security 把SPRING_SECURITY_CONTEXT 放入了session 没有直接把username 放进去。

 下面一段代码主要描述的是session中的存的变量

  1. 存跳转时候的URL  
  2. session {SPRING_SECURITY_SAVED_REQUEST_KEY=SavedRequest[http://localhost:8080/AVerPortal/resourceAction/resourceIndex.action]}  
  3.   
  4. 存的是登录成功时候session中存的信息  
  5. session {SPRING_SECURITY_CONTEXT=org.springframework.security.context.SecurityContextImpl@87b16984: Authentication: org.springframework.security.providers.cas.CasAuthenticationToken@87b16984: Principal: com.avi.casExtends.UserInfo@ff631d80: Username: test; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Password: [PROTECTED]; Authenticated: true; Details: org.springframework.security.ui.WebAuthenticationDetails@12afc: RemoteIpAddress: 127.0.0.1; SessionId: AE56E8925195DFF4C50ABD384574CCEA; Granted Authorities: ROLE_ADMIN Assertion: org.jasig.cas.client.validation.AssertionImpl@661a11 Credentials (Service/Proxy Ticket): ST-3-1lX3acgZ6HNgmhvjXuxB-cas, userId=2, userName=test}  

2.在页面端用tag获取

<%@ taglib prefix='security' uri='http://www.springframework.org/security/tags'%>

 

<security:authentication property="principal.username"></security:authentication> 

或者

<security:authorize ifAllGranted="ROLE_ADMIN">

 <security:authentication property="principal.username"></security:authentication> 

</security:authorize>

 

或者取session中的值

#session.SPRING_SECURITY_CONTEXT.authentication.principal.username等同于

 

3.在后台获取

UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()
    .getAuthentication()
    .getPrincipal();

 


userDetails.getUsername()

 

想要获取更多的信息得扩展userDetails的默认实现类user类和UserDetailsService接口

由于springsecurity是把整个user信息放入session中的即:session.SPRING_SECURITY_CONTEXT.authentication.principal

这个就是代表着user对象

 

因此我做了扩展增加user里的信息 加上userId

代码如下:扩展user

  1. package com.avi.casExtends;  
  2.   
  3. import org.springframework.security.GrantedAuthority;  
  4. import org.springframework.security.userdetails.User;  
  5.   
  6. public class UserInfo extends User{  
  7.     private static final long serialVersionUID = 1L;  
  8.   
  9.     private String userId;  
  10.   
  11.     @SuppressWarnings("deprecation")  
  12.     public UserInfo(String username, String password, boolean enabled, GrantedAuthority[] authorities)  
  13.         throws IllegalArgumentException {  
  14.         super(username,password, enabled, authorities);  
  15.     }  
  16.   
  17.     public String getUserId() {  
  18.         return userId;  
  19.     }  
  20.   
  21.     public void setUserId(String userId) {  
  22.         this.userId = userId;  
  23.     }  
  24.   
  25.     public static long getSerialVersionUID() {  
  26.         return serialVersionUID;  
  27.     }  
  28.   
  29.     
  30. }  

 

实现userDetailsservice接口

  1. package com.avi.casExtends;  
  2.   
  3. import java.util.HashMap;  
  4. import java.util.List;  
  5. import java.util.Map;  
  6.   
  7. import org.springframework.dao.DataAccessException;  
  8. import org.springframework.security.GrantedAuthority;  
  9. import org.springframework.security.GrantedAuthorityImpl;  
  10. import org.springframework.security.userdetails.UserDetails;  
  11. import org.springframework.security.userdetails.UserDetailsService;  
  12. import org.springframework.security.userdetails.UsernameNotFoundException;  
  13.   
  14. import com.avi.dao.AccountDao;  
  15. import com.avi.data.User;  
  16.   
  17. public class UserInfoService implements UserDetailsService{  
  18.       
  19.     private AccountDao accountDao;  
  20.     private Map<String, UserInfo> userMap = null;  
  21.   
  22.     public UserInfoService() {  
  23.          
  24.           
  25.     }  
  26.     public void fillMap(){  
  27.          userMap = new HashMap<String, UserInfo>();  
  28.          List<User> users = accountDao.findAllUsers();  
  29.          UserInfo userInfo = null;  
  30.          for(User user:users){  
  31.             userInfo = new UserInfo(user.getUserName(),user.getPassword(),true,new GrantedAuthority[]{  
  32.                 new GrantedAuthorityImpl(user.getRole()),  
  33.             });  
  34.             userInfo.setUserId(user.getId().toString());  
  35.               
  36.              userMap.put(user.getUserName(), userInfo);  
  37.          }  
  38.     }  
  39.       
  40.     public UserDetails loadUserByUsername(String username)  
  41.         throws UsernameNotFoundException, DataAccessException {  
  42.         if(userMap==null)  
  43.             fillMap();  
  44.         return userMap.get(username);  
  45.     }  
  46.   
  47.     public AccountDao getAccountDao() {  
  48.         return accountDao;  
  49.     }  
  50.   
  51.     public void setAccountDao(AccountDao accountDao) {  
  52.         this.accountDao = accountDao;  
  53.     }  
  54.   
  55.     public Map<String, UserInfo> getUserMap() {  
  56.         return userMap;  
  57.     }  
  58.   
  59.     public void setUserMap(Map<String, UserInfo> userMap) {  
  60.         this.userMap = userMap;  
  61.     }  
  62.   
  63. }  

 

 private AccountDao accountDao;是注入进来的查数据库的类

 

然后修改XML文件指定所要用到的service

  1. <authentication-provider user-service-ref="userDetailsService"/>  
  2.   
  3. <bean id="userDetailsService" class="com.avi.casExtends.UserInfoService" singleton="false">  
  4.         <property name="accountDao" ref="accountDao"/>  
  5. </bean>  

 

 

 

 

${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}

自定义 Spring Security 4 的UserDetailsService和UserDetails

首先在Spring的配置文件中加入自定义UserDetailsService的配置,假如类的全名为com.cpwl.security.CpwlUserDetailsService并且加入了一个加密器:...

Spring Security身份认证之UserDetailsService

zhiqian我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代...
  • shehun1
  • shehun1
  • 2015年04月30日 14:24
  • 26739

spring security3.x学习(23)_session管理和session监听

在看一下session的管理 我们只需要在http中配置session-management就可以了。那我们仔细看一下这个标签吧 session-fixation-prot...

页面获取Spring Security登录用户

1.在session中取得spring security的登录用户名如下: ${session.SPRING_SECURITY_CONTEXT.authentication.principal.us...

Spring Security教程(14)---- Logout和SessionManager

Logout的配置很简单,只需要在http中加入下面的配置就可以了 invalidate-session是否销毁Session logout-url logout地址 logout-success-u...
  • jaune161
  • jaune161
  • 2014年01月24日 16:23
  • 19807

使用Spring-Security进行登录控制的session问题

这边文章Spring Security Form Login Using Database对Spring Security做了非常简单明了的介绍。而且有一个可以down下来运行的示例工程。笔者试验...

spring-security+spring-session配置

spring-session的配置1.dependency 2.applicationContext.xml 3.web.xml 4.分布式 5.遇到的一些问题1. dependencyspr...

[spring security 那点事儿]配置方式

这段时间一直开发的B2C的网购平台已经完成了将近一半的功能,突然觉得自己之前对于权限管理方面的hold决定将给后面带来不小的工作量,所以决定现在就加入权限判断的功能。很容易联想到spring secu...

JavaWeb开发中修改session的设置

本文是我在 iteye 找到的的一篇,评价比较高,所以我就转载了,原文地址如下:http://zmx.iteye.com/blog/1846181 在Java Web开发中,Sessio...
  • dncmn
  • dncmn
  • 2017年02月03日 16:47
  • 1157

springboot+springSecurity+springSessionDataRedis+CAS搭建集群单点登陆系统

springboot+springSecurity+springSessionDataRedis+CAS搭建集群单点登陆
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Spring Security 取Session中的值和修改userDetails
举报原因:
原因补充:

(最多只允许输入30个字)