在spring-security框架中可以获取当前正在登录的用户:
1.在jsp页面中:先导入标签库,然后使用标签获取
<%@ taglib prefix='security' uri='http://www.springframework.org/security/tags'%>
......
......
<security:authentication property="principal.username"></security:authentication>
2.取session中的值
${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}
注:springsecurity是把整个user信息放入session中的即:session.SPRING_SECURITY_CONTEXT.authentication.principal 这个就是代表着user对象。
3.在后端程序体中:
UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
String username = userDetails.getUsername();
注:UserDetails中还包含了用户的密码,权限,是否激活等信息,通过调用UserDetails的方法即可获得。
注:如果想用上面的代码获得当前用户,必须在spring security过滤器执行中执行,否则在过滤链执行完时org.springframework.security.web.context.SecurityContextPersistenceFilter类会调用SecurityContextHolder.clearContext();而把SecurityContextHolder清空,所以会得到null。
经过spring security认证后,security会把一个SecurityContextImpl对象存储到session中,此对象中有当前用户的各种资料。
另:spring-security是无法将加密后的密文解密成明文只能通过 bcryptPasswordEncoder.matches(“admin”,hashPass);来比较密码是否正确。spring-security使用SHA-256+随机盐+密钥进行加密。
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String pwd= passwordEncoder.encode(password); //加密密码
System.out.println(pwd);
boolean flag = passwordEncoder.matches("xxx",pwd);
System.out.println(f);
}
}