【Spring Boot】SecurityContextHolder.getContext().getAuthentication()为null的情况

最新推荐文章于 2025-02-25 14:06:16 发布
最新推荐文章于 2025-02-25 14:06:16 发布
阅读量2w 收藏 36
点赞数 10
分类专栏: # Spring Boot 文章标签: Spring Boot Spring Spring Security 用户认证 用户授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ARPOSPF/article/details/105037639
版权

SecurityContextHolder.getContext().getAuthentication()为null的情况

问题描述

在登录的时候,用如下方法获取输入的用户名:

/**
 * 获得当前用户名称
 */
private String getUsername() {
    String username = SecurityContextHolder.getContext().getAuthentication().getName();
    System.out.println("username= " + username);
    return username;
}

但是实际却不能取到用户名,错误日志如下:
错误异常情况

Spring Security 的基本组件 SecurityContextHolder

Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。

SecurityContextHolder的工作原理

缺省工作模式 MODE_THREADLOCAL

我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么SecurityContextHolder是怎么保存这些安全上下文的呢 ?缺省情况下,SecurityContextHolder使用了ThreadLocal机制来保存每个使用者的安全上下文。这意味着,只要针对某个使用者的逻辑执行都是在同一个线程中进行即使不在各个方法之间以参数的形式传递其安全上下文,各个方法也能通过SecurityContextHolder工具获取到该安全上下文。只要在处理完当前使用者的请求之后注意清除ThreadLocal中的安全上下文,这种使用ThreadLocal的方式是很安全的。当然在Spring Security中,这些工作已经被Spring Security自动处理,开发人员不用担心这一点。
这里提到的SecurityContextHolder基于ThreadLocal的工作方式天然很适合Servlet Web应用,因为缺省情况下根据Servlet规范,一个Servlet request的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。

注意: 这里讲的是一个Servlet request的处理不管经历了多少个Filter,自始至终都由同一个线程来完成;而对于同一个使用者的不同Servlet request,它们在服务端被处理时,使用的可不一定是同一个线程(存在由同一个线程处理的可能性但不确保)。

其他工作模式

有一些应用并不适合使用ThreadLocal模式,那么还能不能使用SecurityContextHolder了呢?答案是可以的。SecurityContextHolder还提供了其他工作模式。
比如有些应用,像Java Swing客户端应用,它就可能希望JVM中所有的线程使用同一个安全上下文。此时我们可以在启动阶段将SecurityContextHolder配置成全局策略MODE_GLOBAL。
还有其他的一些应用会有自己的线程创建,并且希望这些新建线程也能使用创建者的安全上下文。这种效果,可以通过将SecurityContextHolder配置成MODE_INHERITABLETHREADLOCAL策略达到。

使用SecurityContextHolder

获取当前用户信息

在SecurityContextHolder中保存的是当前访问者的信息。Spring Security使用一个Authentication对象来表示这个信息。一般情况下,我们都不需要创建这个对象,在登录过程中,Spring Security已经创建了该对象并帮我们放到了SecurityContextHolder中。从SecurityContextHolder中获取这个对象也是很简单的。比如,获取当前登录用户的用户名,可以这样:

String username = "";
// 获取安全上下文对象,就是那个保存在 ThreadLocal 里面的安全上下文对象
// 总是不为null(如果不存在,则创建一个authentication属性为null的empty安全上下文对象)
SecurityContext securityContext = SecurityContextHolder.getContext();
// 获取当前认证了的 principal(当事人),或者 request token (令牌)
// 如果没有认证,会是 null,该例子是认证之后的情况
Authentication authentication = securityContext.getAuthentication();
// 获取当事人信息对象,返回结果是Object类型,但实际上可以是应用程序自定义的带有更多应用相关信息的某个类型。
// 很多情况下,该对象是Spring Security核心接口UserDetails的一个实现类,
// 可以把UserDetails想像成数据库中保存的一个用户信息到SecurityContextHolder中Spring Security需要的用户信息格式的一个适配器。
Object principal = authentication.getPrincipal();
if (principal instanceof UserDetails) {
    username = ((UserDetails) principal).getUsername();
} else {
    username = principal.toString();
}
修改SecurityContextHolder的工作模式

综上所述,SecurityContextHolder可以工作在以下三种模式之一:

  • MODE_THREADLOCAL (缺省工作模式)
  • MODE_GLOBAL
  • MODE_INHERITABLETHREADLOCAL
    修改SecurityContextHolder的工作模式有两种方法 :
    • 设置一个系统属性(system.properties) : spring.security.strategy; SecurityContextHolder会自动从该系统属性中尝试获取被设定的工作模式
    • 调用SecurityContextHolder静态方法setStrategyName(): 程序化方式主动设置工作模式的方法

解决方案

暂无

SecurityContextHolder.getContext().getAuthentication()null情况
weixin_30876945的博客
04-09 7697
原理: UserDetailsuserDetails=(UserDetails)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 如果想用上面的代码获得当前用户,必须在springsecurity过滤器执行中执行,否则在过滤链执行完时org.springframework.security....
7-SpringSecurity:获取已登录的用户信息
m0_69523172的博客
05-03 1640
lombok true org.springframework.boot spring-boot-starter-test test [](()实验0:SecurityContext SecurityContextHolder.getContext().getAuthentication() 可用于获取已认证用户信息,它可以在应用程序的任何地方使用,而不仅仅是在控制器的处理程序方法中。 @GetMapping(value = “/”) @ResponseBody public String hom
SpringSecurityspringboot整合SpringSecurity实现登录校验与权限认证
最新发布
weixin_44823875的博客
02-25 2486
关于安全方面的两个主要区域是“认证”和“授权”(或者说是访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,
SecurityContextHolder.getContext().getAuthentication()null 获取不到当前登录用户信息
weixin_58691039的博客
11-10 1558
SecurityContextHolder.getContext().getAuthentication()null 获取不到当前登录用户信息
SecurityContextHolder.getContext().getAuthentication()返回null
nameIsAhh的博客
06-21 2209
SecurityContextHolder维护上下文的本质是通过ThreadLocal,而定时任务不在同一线程里,因此拿不到。同理可知,controller层的uri若未被securityFilterChain()方法过滤器链维护,该uri下的方法里也拿不到用户信息。定时任务执行业务逻辑时,需要用户信息,通过SecurityContextHolder.getContext().getAuthentication()获取用户信息为null,从而报错。
SecurityContextHolder.getContext().getAuthentication()null解决方案
qq_53600812的博客
05-18 6667
SecurityContextHolder.getContext().getAuthentication();为null解决方案 SpringSecurity。之前想用SecurityContextHolder.getContext().getAuthentication()这玩意获取登录后的用户名但是一直空指针。换了各种方案,最后发现是这玩意好像不能放在成员变量的位置,要在方法内部使用。好像是因为这个上下文是和线程相关的。 修改前: @Api(tags="后台首页") @RestController pu
SecurityContextHolder.getContext().getAuthentication()null SpringSecurity无法获取登录用户问题
weixin_41713225的博客
06-18 503
SpringBoot项目中使用SpringSecurity并且无法获取当前登录用户对象的问题
SecurityContextHolder.getContext().getAuthentication() is null
zbzhangzi的专栏
06-21 1986
SpringMVC中访问一个Controller的一个方法时,调用了SecurityContextHolder.getContext().getAuthentication() ,结果显示null异常,说明在security.xml中配置时过滤掉了此地址   <intercept-url pattern="/aaa/bbb*" filters="none"/> 此时, ...
cotroller中使用SecurityContextHolder.getContext().getAuthentication()返回null
FigBB的博客
04-30 2791
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
lyl54545的博客
03-22 2385
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证.
SpringSecurity整合JWT权限验证实现前后端分离,配合使用 Redis实现token超时的刷新机制
fenyudelushang的博客
10-21 2132
项目使用SpringSecurity整合JWT实现权限验登陆,下面简单描述下整个流程。 1.登陆成功后生成JWT token 返回给前端,前端再次访问时携带这个jwttoken,服务端收到后解析这个token,判断这个token是否超过最大有效期,如没有超过最大有效期但这个token过期了,就返回刷新后的jwt给前端,但超过了最大有效期就要用户重新登陆了,下面是具体的代码实现,有 不足之处多多指导哦。 1.配置验证过期以及刷新JWT的过滤器 @Component public class JwtC.
java springboot3.x jwt+spring security6.x实现用户登录认证
Leaf吧的博客
01-14 1253
springboot3.x +jwt +spring Security实现用户登录认证,为什么需要jwt 为什么需要spring Security 他们的关系,作用是什么,以及怎么实现
SpringSecurity +oauth2获取当前登录用户(二)
ytyDaMoTou的博客
03-17 4398
注意,如果访问不通过,需要在资源配置类中将用户访问接口添加到资源配置。但是,通过运行会发现principal的值只是。.java类中编写测试入口方法。类,将以上配置类引用到方法。1 先获取token。
SecurityContextHolder.getContext().getAuthentication()为空
steve的博客
06-01 9863
场景: SecurityContextHolder.getContext().getAuthentication()为空的解决 在controller里边发现SecurityContextHolder.getContext().getAuthentication()始终为null http://blog.csdn.net/jjk_02027/article/details/6
SecurityContextHolder.getContext().getAuthentication()去值为null
奥翔在海洋中~~
01-14 6860
需要用Java代码在SpringSecurity中取到用户名称,在Action或其他地方(filer中)用方法SecurityContextHolder.getContext().getAuthentication()取值为null,但是在页面使用<security:authentication property="principal" var="loggedUser"/>还是可以取到的很少疑
SecurityContextHolder.getContext().getAuthentication()null的问题
热门推荐
Maskkiss的博客
09-12 1万+
一、前言     项目背景是Spring boot+Spring secutiry+Thymeleaf。 二、问题原因     这个问题的原因的是你在用Spring Security加载权限的时候没有加载到,一般是手动调用重写的loadUserByUsername方法却没有赋予权限导致的。可以看我的另一篇博文有提到Spring boot+Spring security5+Thymeleaf集...
servlet的优化
weixin_43521028的博客
10-10 445
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
springboot+vue jwt令牌前后端代码
12-31
### 关于 Spring Boot 和 Vue 实现 JWT 令牌的前后端代码示例 #### 后端部分 (Spring Boot) 为了创建基于JWT的身份验证服务,在`pom.xml`文件中引入必要的依赖项[^2]: ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT Library --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> </dependencies> ``` 配置类用于设置安全策略并定义如何处理身份验证请求。 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/auth/**").permitAll() // Allow all users to access authentication endpoints. .anyRequest().authenticated(); // All other requests require authentication. JwtTokenFilterAuthentication filter = new JwtTokenFilterAuthentication(); filter.setAuthenticationManager(authenticationManagerBean()); http.addFilterBefore(filter, UsernamePasswordAuthenticationFilter.class); } } ``` 编写控制器来接收登录请求,并返回带有访问令牌的响应给前端应用。 ```java @RestController @RequestMapping("/auth") public class AuthController { private final AuthenticationManagerBuilder auth; public AuthController(AuthenticationManagerBuilder auth){ this.auth=auth; } @PostMapping("/login") public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) { try{ String username = loginRequest.getUsername(); String password = loginRequest.getPassword(); Authentication authentication = auth.getObject().authenticate( new UsernamePasswordAuthenticationToken(username,password)); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = TokenProvider.generateToken(authentication); return ResponseEntity.ok(new JwtResponse(jwt)); }catch(BadCredentialsException ex){ throw new BadCredentialsException("Invalid credentials"); } } } ``` #### 前端部分 (Vue.js) 安装 `axios` 库以便发送HTTP请求至服务器。 ```bash npm install axios ``` 在 Vuex store 中管理用户认证状态以及存储获取到的token。 ```javascript import Vue from 'vue' import Vuex from 'vuex' Vue.use(Vuex) export default new Vuex.Store({ state: { isAuthenticated: false, token: null }, mutations: { SET_AUTHENTICATED(state, status) { state.isAuthenticated = status }, SET_TOKEN(state, token) { localStorage.setItem('jwt', JSON.stringify(token)) state.token = token } }, actions: { async login({ commit }, {username, password}) { const response = await axios.post('/api/auth/login', {username, password}) let data=response.data if(data && data.accessToken){ commit('SET_AUTHENTICATED', true) commit('SET_TOKEN',data.accessToken ) return Promise.resolve(response) }else{ return Promise.reject('Failed to log in') } } } }) ``` 组件内调用store中的action方法完成登录操作。 ```html <template> <div id="app"> <form v-on:submit.prevent="handleLogin()"> 用户名:<input type="text" name="username" v-model="credentials.username"/><br/> 密码:<input type="password" name="password" v-model="credentials.password"/><br/> <button type="submit">登陆</button> </form> </div> </template> <script> export default { data(){ return { credentials:{ username:'', password:'' } }; }, methods:{ handleLogin:function () { this.$store.dispatch('login',this.credentials).then(()=>{ console.log('Logged In'); }).catch((err)=>{ alert(err.message || "Error logging in."); }); } } }; </script> ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

镰刀韭菜

看在我不断努力的份上,支持我吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值