当ThreadLocal遇到IgnoreSecurity的坑

于 2021-12-24 17:27:26 发布
阅读量340 收藏
点赞数
文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangLost/article/details/122132418
版权

今天遇到一个坑,首页接口不需要token,使用了@IgnoreSecurity,然后在调试接口的时候,即使不传Token,照样能使用ThreadLocal获取到用户信息,经过多次测试并且老大解惑才发现,当AuthInterceptor拦截token的时候,遇到了IgnoreSecurity,跳过了判断,此时应该做ThreadLocal判断,如果Token为空或者不对的时候,ThreadLocal要remove。

UserContext获取用户信息
/**
 * 获取登录信息
 */
@Data
@Component
public class UserContext {

	private static final ThreadLocal<LoginUserData> resources = new ThreadLocal<LoginUserData>();

	public static LoginUserData getUserData() {
		LoginUserData loginUserData= resources.get();
		if(loginUserData == null) {
			ResultUtil.error(ExceptionEnum.USER_IS_ERROR);
		}
		return loginUserData;
	}

	public static void setUserData(LoginUserData userData) {
		resources.set(userData);
	}

	//防止内存泄漏
	public static void remove(){
		resources.remove();
	}
}
AuthInterceptor里面的片段

if (method.isAnnotationPresent(IgnoreSecurity.class)) {
    if (StrUtil.isNotEmpty(token)) {
        String userId = userService.getUserByUuid(token);
        String userDataStr = (String) redisUtils.get(RedisConstants.ACCOUNT_TOKEN_PREFIX + token);
        if (userId != null && userDataStr != null) {
            request.setAttribute("userId", userId);
            LoginUserData loginUserData = JSONObject.parseObject(userDataStr, LoginUserData.class);
            UserContext.setUserData(loginUserData);
        }else {
            UserContext.remove();
        }
    }else {
        UserContext.remove();
    }
    return true;
}

YangLost
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring定时任务中使用ThreadLocal
04-24
NULL 博文链接:https://bijian1013.iteye.com/blog/2380233
拦截器(只需添上@IgnoreSecurity注解即可不验证tocken)
心比天高的小菜鸟
05-11 5876
package com.amigo.companion.provider.user.interceptor; import java.lang.reflect.Method; import javax.annotation.Resource; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Htt...
spring-cloud通过注解忽略用户校验
weixin_40584932的博客
07-07 3413
 需要用 token 来获取当前用户  需要在方法中自动注入用户不是所有接口都  需要控制登录状态分析利用拦截器来统一处理 token 需要在拦截器需要处理某些不需要验证 token 的接口 自动注入用户实体类方案添加自定义注解两个,一个用于标识用户实体类入参,一个用户标识是否需要注入用户实体类添加拦截器,从 http header 里获取 token 从而获取当前登录用户,将登陆用户存到 Htt...
spring boot security csrf ignore
junandjun的专栏
05-20 3080
在一个工程中使用了spring boot security csrf , 工程中有一部分是api,通过url进行调用,并且要求使用post请求 那么麻烦来了,使用了csrf,调用api的请求被拒了,原因就是没有csrf,认为session过期了 怎么绕过去呢 public class SecurityConfig extends WebSecurityConfigurerAdapter{
简述Spring容器与SpringMVC的容器的联系与区别
Rico's Blogs
07-04 1万+
摘要:   在Spring整体框架的核心概念中,容器的核心思想是管理Bean的整个生命周期。但在一个项目中,Spring容器往往不止一个,最常见的场景就是在一个项目中引入Spring和SpringMVC这两个框架,其本质就是两个容器:Spring是根容器,SpringMVC是其子容器。关于这两个容器的创建、联系及区别也正是本文所关注的问题。 版权声明:   本文原创作者:书呆子Rico
@IgnoreToken的作用
weixin_42605050的博客
12-05 2597
在方法上面添加注解 @IgnoreToken 后,那么请求该方法体时,则可以不用在header传token进行验证了。
理解ThreadLocal
最新发布
12-25
理解ThreadLocal
ThreadLocal
12-21
应用ThreadLocal进行多线程处理,经典小例子。可运行。
ThreadLocal详解.md
10-31
学习ThreadLocal,了解其中的原理,以及学习其中的优点!避免点!!
ThreadLocal.pdf
04-13
ThreadLocal
@Ignore注解
热门推荐
syq8023的博客
06-20 2万+
了解如何使用@Ignore注解。在测试类FirstTest中,我们添加@Ignore注解到test2()方法。以这种方式,我们期望这个测试方法将被忽略,不被执行。 package com.test.junit; import static org.junit.Assert.*; import org.junit.Ignore; import org.junit.Test; public cl...
@jsonIgnore不生效
qb170217的博客
07-23 9492
本人使用的是alibaba的fastjson,但是@JsonIgnore不是fastjson的,所以不生效,  将注解改为@JSONField(serialize = false),JSONField来自com.alibaba.fastjson.annotation包的,然后序列化的时候就生效了。@成功忽略了属性。 https://blog.csdn.net/petershusheng/arti...
security项目下使用@Profile 注解实现开发环境不拦截请求
a807719447的专栏
08-15 1726
我们来看下项目结构 配置类分两个包prod 、test WebSecurityProdConfig.java /** * @desc 生产配置类 * @Auth 姚仲杰 * @Date 2019/8/15 9:54 **/ @Configuration @EnableWebSecurity @Profile(value = {"prod"}) public class Web...
【MS】微服务调用时,开放某个接口设置不需要oauth2 认证即可访问
唐伯虎点纹香的博客
08-22 1万+
微服务调用时,开放某个接口设置不需要oauth2 认证即可访问 目标 是把不需要认证的接口给资源服务permitAll 思路 创建一个自定义的注解 把所有带注解的URL给资源服务permitAll 1、创建不鉴权注解@AuthIgnore /** * @author czx * @title: AuthIgnore * @projectName ms * @description:...
Junit 实例精讲基础教程(一) 使用@Ignore注解跳过单元测试方法的执行
青山师
11-03 8246
实际开发完成后,我们经常可能在一个单元测试类中进行多个方法的单元测试,但是每次只想对某一个方法进行单元测试,这时我们可以使用@Ignore注解来跳过其他方法,仅仅对指定的某个方法进行单元测试,这里分享一下@Ignore注解的使用。(本文章分享在CSDN平台,更多精彩请阅读 东陆之滇的csdn博客:http://blog.csdn.net/zixiao217)常规单元测试import org.juni
@Aspect 注解使用-安全验证
DK微风的博客
07-30 1334
AOP为Aspect Oriented Programming的缩写,意为:面向切面编程 使用spring框架开发基本都会使用AOP功能,实现项目对日志记录,性能统计,安全控制,事务处理,异常处理等 前两天项目开发中使用@Aspect注解做了登录验证,以后会经常用到,所以把主要代码提取出来,在此记录一下。 首先,在spring配置文件中引入 <!-- 支持Controlle...
2021-03-12 Springboot配置大全
okludawei的博客
03-12 632
SpringBoot配置文件常用配置示例 SpringBoot配置文件 flyway.baseline-description执行基线时标记已有Schema的描述。 flyway.baseline-on-migrate在没有元数据表的情况下,针对非空Schema执行迁移时是否自动调用基线。(默认值:false 。) flyway.baseline-version执行基线时用来标记已有Schema的版本。(默认值: 1 。) flyway.check-location检查迁移脚本所在的位置是否存在。
微服务常用组件封装项目过程详细介绍总述(七)---基于springboot的自定义security starter组件开发
weixin_47407416的博客
12-16 719
对spring-security-oauth2进行springboot starter组件封,同时集成spring-security-oauth2,justauth-spring-boot-starter,,对spring-security进行简单扩充,自定义处理各种handle,但不涉及具体的认证,具体认证后续会有一个认证服务专门去处理认证跟三方登录问题
SpringBoot配置属性之Security
CODE男孩的博客
11-25 1万+
序 spring security是springboot支持的权限控制系统。 security.basic.authorize-mode要使用权限控制模式. security.basic.enabled是否开启基本的鉴权,默认为true security.basic.path需要鉴权的path,多个的话以逗号分隔,默认为[/**] security.basic.r
ThreadLocal遇到线程池失效
08-09
回答: 当使用线程池时,可能会导致 ThreadLocal 失效的情况。这是因为线程池中的线程可以被多个任务共享,如果某个线程在执行任务时使用了 ThreadLocal.set 方法设置了一个值,但在任务执行结束后没有调用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值