SecurityContextHolder, SecurityContext和Authentication

最新推荐文章于 2024-05-19 15:38:09 发布
最新推荐文章于 2024-05-19 15:38:09 发布
阅读量1.4k 收藏 1
点赞数 2

原创地址:https://blog.csdn.net/ro_wsy/article/details/44341547 

SecurityContextHolder, SecurityContext和Authentication

SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。

SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL,前者表示SecurityContextHolder对象的全局的,应用中所有线程都可以访问;后者用于线程有父子关系的情境中,线程希望自己的子线程和自己有相同的安全性。

大部分情况下我们不需要修改默认的配置,ThreadLocal是最常用也是最合适大部分应用的。

获得认证主体信息

我们可以用下面的代码段获得认证的主体信息

[java]  view plain  copy
  1. Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();  
  2.   
  3. if (principal instanceof UserDetails) {  
  4.   String username = ((UserDetails)principal).getUsername();  
  5. else {  
  6.   String username = principal.toString();  
  7. }  
第一行代码返回的是一个UserDetails类型的实例,其中包含了username,password和权限等信息,当然,我们也可以通过实现这个接口自定义我们自己的UserDetails实例,给我们自己的应用使用,以符合需要的业务逻辑。

UserDetailsService

上面说到可以自定义UserDetails实例,我们怎么获得这个实例呢,就需要通过UserDetailsService来实现,这个接口只有一个方法

[java]  view plain  copy
  1. UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;  
这个方法接受一个用户名参数,返回UserDetails实例。

认证成功之后,UserDetails对象用来构建Authentication对象并存放在SecurityContextHolder中,所以,我们需要的用户信息都可以通过SecurityContextHolder拿到。

GrantedAuthority

Authentication对象还提供了getAuthorities方法,获取用户被赋予的权限,权限通常对应着角色,什么角色对应着什么样的访问权限,例如ADMIN_ROLE可以访问/admin下的内容,其他角色则无权访问。

GrantedAuthority对象也通常由UserDetailsService实例获取。

总结

我们上面提到了如下几个对象:

SecurityContextHolder:提供对SecurityContext的访问
SecurityContext,:持有Authentication对象和其他可能需要的信息
Authentication:Spring Security方式的认证主体
GrantedAuthority:对认证主题的应用层面的授权
UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
UserDetailsService:通过username构建UserDetails对象

csdn13118
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SecurityContextHolderSecurityContext
也许是我送你哦
05-19 573
SecurityContextHolder.getContext().setAuthentication(authentication); 走源码,发现是ThreadLocal //当前线程 private static SecurityContextHolderStrategy strategy; public static SecurityContext getContext() { return strategy.getContext(); } ThreadLocalSecurityCon
SpringSecurity核心组件
RO_wsy的专栏
03-17 5753
SecurityContextHolder, SecurityContextAuthentication SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 SecurityContext
security如何保存用户信息,如何获取用户信息(一)(含部分securityHolder源码分析)
最新发布
m0_64106946的博客
05-19 430
SecurityContextPersistenceFilter 先从HttpSession中读取SecurityContext出来,存入SecurityContextHolder以备后续使用,当请求离开SecurityContextPersistenceFilter的时候,获取最新的SecurityContext并存入HttpSession中,同时清空SecurityContextHolder中的登录信息。但对于我们的前后端分离的情况,一般都用jwt,若开启session(默认),那么每次。
SpringSecurity SecurityContextHolder&SecurityContext
Claroja
03-22 720
SecurityContextHolder用来存储一次访问的用户信息 SecurityContextHolder通过ThreadLocal来实现,所以是线程安全的 SecurityContextHolder包含了SecurityContext,而SecurityContext包含Autherntication. SecurityContext context = SecurityContextHolder.createEmptyContext(); Authentication authenticati.
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
AuthenticationContextHolder使用
码字不易,大家的支持就是我坚持下去的动力
03-14 1623
是 Spring Security 提供的一个类,用于在应用程序中获取当前用户的认证信息。该类包含了一个方法,用于获取当前用户的认证信息。以下是// 获取当前用户的认证信息 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();// 在这里可以根据用户的认证信息做一些业务逻辑处理 } }在这个例子中,我们定义了一个MyService类,并在其中使用获取了当前用户的认证信息。
Spring Security如何基于Authentication获取用户信息
08-19
在Spring Security的体系中,每个安全相关的请求都会与一个Authentication对象关联,该对象存储在SecurityContext中,而SecurityContext又由SecurityContextHolder持有。下面将详细介绍如何在Spring Security中基于...
详解Spring Security的Web应用和指纹登录实践
08-26
总结来说,Spring Security提供了一个全面的框架来处理Web应用的安全问题,其核心组件包括SecurityContextSecurityContextHolderAuthentication、UserDetails和AuthenticationManager,它们协同工作以确保用户...
Spring Security架构以及源码详析
08-27
通过对SecurityContextHolderSecurityContextAuthentication等核心对象的理解,以及对认证和授权流程的掌握,你可以构建出符合业务需求的安全管理体系。深入研究Spring Security的源码,将有助于你更好地定制和...
Spring Security验证流程剖析及自定义验证方法
08-27
6. 成功验证的Authentication对象会被保存在SecurityContextHolderSecurityContext中,以便后续请求可以访问这些安全上下文信息。 Authentication接口是表示用户认证信息的关键,它包含了认证前后用户的相关数据...
如何使用Spring Security手动验证用户的方法示例
08-26
为了构造和设置Authentication对象,我们通常需要使用Spring Security在标准身份验证上构建对象的相同方法。 手动触发身份验证 要让我们手动触发身份验证,需要使用UsernamePasswordAuthenticationToken对象和...
关于若依框架集成jsencrypt实现密码加密传输方式(AuthenticationContextHolder.setContext(authenticationToken);报错问题改造)
hyk1499449886的博客
09-15 1899
集成jsencrypt实现密码加密传输方式
springSecurity系列之 SecurityContextHolderSecurityContext
weixin_39802680的博客
03-27 1506
SecurityContextHolder SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext。 安全上下文 SecurityContext SecurityContext 可以理
servlet的优化
weixin_43521028的博客
10-10 399
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
SecurityContextHolder.getContext().getAuthentication()报空指针异常,已解决。
qq_48697226的博客
11-29 9208
SecurityContextHolder.getContext().getAuthentication()报空指针异常,已解决。
SecurityContextHolder.getContext()获取不到Security上下文数据?
本人的技术和文笔有限,正在努力成长中,请各位朋友多多指正与包涵!
05-08 1799
在使用 MODE_INHERITABLETHREADLOCAL 安全策略时,您需要小心处理多线程环境下的安全性问题,以避免出现数据竞争、死锁等问题。同时,这种模式可能会对应用程序的性能产生一定的影响,因为它需要通过序列化和反序列化来传递安全上下文信息。因此,在使用 MODE_INHERITABLETHREADLOCAL 安全策略时需要小心,确保在必要的情况下使用它,以避免性能问题。我的项目中出现这个问题是由于使用了异步线程(如下),导致Security上下文无法从主线程传递到异步线程中。
【Spring Boot】SecurityContextHolder.getContext().getAuthentication()为null的情况
小哲的博客
03-23 1万+
SecurityContextHolder.getContext().getAuthentication()为null的情况 问题描述 在登录的时候,用如下方法获取输入的用户名: /** * 获得当前用户名称 */ private String getUsername() { String username = SecurityContextHolder.getContext().ge...
SecurityContextHolder.getContext().getAuthentication() 线程安全吗?
qq_41965731的博客
04-13 2448
今天想到昨天 token 的一个问题,如果 token 失效,我们需要生成新的 token 那必然需要一些登录用户的信息去构建我们的 jwt token , 我当时的想法是虽然 token 失效但是在 springSecurity 的上下文对象中存储着用户已经 登录认证过的 Authentication ,通过 Authentication 可以获取 UserDetials 信息,但是我今天早上起来想到,这只是在我单用户那必然是可以获取到我已经认证的 Authentication ,但在 web环境下,如.
使用Mock方式进行单测时,对Spring约定配置(SecurityContextHolder)的处理
qq_42018547的博客
09-07 1051
@使用Mock方式进行单测时,对Spring约定配置(SecurityContextHolder)的处理 使用Mock做Controller层单测时, 所有依赖注入的变量都需要Mock一下.如: @Controller public class IndexController { @Autowired private IConfigService configService; @Autowired private VersionVariable versionVariable; } 测试类中相应
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
02-19
SecurityContextHolder.getContext().setAuthentication(authenticationToken)是Spring Security框架中用于设置当前用户认证信息的方法。 在Spring Security中,认证信息被封装在Authentication对象中,该对象包含了用户的身份信息、权限信息等。而SecurityContextHolder是一个用于存储和获取当前用户认证信息的上下文对象。 通过调用SecurityContextHolder.getContext()方法可以获取当前线程的SecurityContext对象,而SecurityContext对象中又包含了当前用户的认证信息。通过调用setAuthentication(authenticationToken)方法可以将传入的Authentication对象设置为当前用户的认证信息。 这个方法通常在用户登录成功后被调用,用于将认证信息存储在SecurityContext中,以便后续的权限验证和访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值