在使用 JWT 进行身份验证时,每次请求都需要在 HTTP 头部中携带 JWT 令牌,并在服务器端进行解析和验证。因此,在登录成功之后将 JWT 令牌存入 Spring Security 上下文并不是必要的步骤。
但是,在一些特殊的场景下,将 JWT 令牌存入 Spring Security 上下文可能会对代码的编写和维护产生一定的好处。比如:
-
方便获取当前用户信息:在进行权限控制时,我们通常需要获取当前登录用户的身份信息和权限信息。如果将 JWT 令牌存入 Spring Security 上下文,那么我们可以方便地通过
SecurityContextHolder.getContext().getAuthentication()
获取到包含当前用户信息的Authentication
对象,从而避免重复解析 JWT。 -
支持一些不存在于 JWT 中的认证属性:在某些情况下,我们可能需要在认证流程中添加一些额外的属性,比如 IP 地址、登陆时间等。如果将 JWT 令牌存入 Spring Security 上下文,我们可以利用自定义的
AuthenticationProvider
来添加这些额外的属性。
总之,将 JWT 令牌存入 Spring Security 上下文并不是必须的,但有时可以方便地获取当前用户信息或者为认证流程添加一些额外的属性。