Spring Security中的SecurityContext和SecurityContextHolder是什么?

最新推荐文章于 2025-03-25 14:23:46 发布
最新推荐文章于 2025-03-25 14:23:46 发布
阅读量1.3k 收藏 4
点赞数 2
文章标签: java spring session 数据库 安全
本文深入探讨了Spring Security中的关键类SecurityContext和SecurityContextHolder的作用。SecurityContext存储已认证用户的信息,而SecurityContextHolder提供了访问SecurityContext的途径,通常使用ThreadLocal进行存储。文章还介绍了如何从SecurityContextHolder中获取当前登录用户的详细信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SecurityContextSecurityContextHolder是Spring Security的两个基本类。 SecurityContext用于存储当前经过身份验证的用户的详细信息,也称为原理。 因此,如果必须获取用户名或任何其他用户详细信息,则需要首先获取此SecurityContextSecurityContextHolder是一个帮助程序类,它提供对安全上下文的访问。 默认情况下,它使用ThreadLocal对象存储安全性上下文,这意味着即使不传递SecurityContext对象,该安全性上下文也始终可用于同一执行线程中的方法。 不过,不必担心Web应用程序中的ThreadLocal内存泄漏 ,Spring Security会负责清理ThreadLocal。

顺便说一句,这不是SecurityContextHolder可以存储当前SecurityContext的唯一方法,可以在启动时为其配置策略,以指定如何存储上下文。 例如,可以将SecurityContextHolder.MODE_GLOBAL策略用于独立的应用程序。

要学习的关键是, 如何从SecurityContextHolder获得SecurityContext? 然后从中检索当前的用户详细信息? 例如,如果您想知道当前登录用户的用户名,那么如何在Spring security中获得该用户名?

为了获取当前的用户名,首先需要一个SecurityContext ,它是从SecurityContextHolder获得的。 此SecurityContext将用户详细信息保留在Authentication对象中,该对象可以通过调用getAuthentication()方法获得。

一旦获得身份验证对象,就可以转换为UserDetails或按原样使用它。 UserDetails对象是Spring Security用于保留用户相关信息的对象。

如何在Spring Security中获取当前的登录用户名

这是获取Spring安全性中的安全性上下文并获取当前登录用户的名称的代码: 

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}

getContext()返回的对象是SecurityContext接口的实例。 这是存储在线程本地存储中的对象。

getPrincipal()方法通常在Spring Security中返回UserDetails对象,该对象包含当前登录用户的所有详细信息。

无论如何,如果您仔细观察,您会发现在考虑Spring依赖注入时,这并不是一个很好的代码。 因此,如果您需要了解当前登录的用户详细信息(例如在Spring MVC控制器中),建议您声明一个依赖项,然后让Spring为您提供Principal对象,而不是查询它们并创建一个紧密耦合的系统。

这是一个例子 

import java.security.Principal;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class MVCController {

  @RequestMapping(value = "/username", method = RequestMethod.GET)
  @ResponseBody
  public String currentUserName(Principal principal) {
     return principal.getName();
  }

}

另外,您也可以要求提供Authentication对象而不是Principal对象,如下所示: 

import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class SpringMVCController {

  @RequestMapping(value = "/username", method = RequestMethod.GET)
  @ResponseBody
  public String currentUserName(Authentication authentication) {
     return authentication.getName();
  }
}

如果您想了解更多方法,还可以参阅我的文章有关在Spring Security中获取当前用户名的3种方法 ,在此我讨论了几种在Spring MVC控制器中获取当前用户名的更多方法。

这就是Spring安全性中的安全性上下文,以及如何从SecurityContextHolder类获取SecurityContext的全部内容。 这些是一些基本类,因此您必须熟悉它们。

存储部分(即SecurityContext存储在ThreadLocal是可选的,但最好了解详细信息。 请记住,如果您需要用户详细信息(例如用户名等),则最好在Spring MVC控制器中请求Principal或Authentication对象,而不要使用SecurityContextHolder来获取它们。

感谢您到目前为止阅读本文。 如果您喜欢此Spring Security教程,请与您的朋友和同事分享。 如果您有任何疑问或反馈,请留言。

翻译自: https://www.javacodegeeks.com/2018/02/securitycontext-securitycontextholder-spring-security.html

dnc8371
关注
SpringSecurity6从入门到实战之SecurityContextHolder详解
helloworld工程师的博客
12-03 604
Spring Security中的一个核心组件,它提供了对的访问管理。是一个包含了安全信息的对象,例如用户的认证信息、授权信息以及任何与当前安全上下文相关的其他信息。通过线程局部存储(ThreadLocal)的方式来存储,这使得每个线程都可以访问其自己的安全上下文,从而实现了安全信息的线程隔离。
Spring Security 实战内容:SecurityContext相关的知识
vx539413949的博客
04-14 516
1. 前言 今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的。因为你认证通过后访问资源,系统是知道你是谁的。而且显式的暴露用户的检索接口也不安全。所以我们需要一个业务中可以检索当前认证用户的工具。接下来我们来看看 Spring Security 是如何解决这个痛点的。 2. 安全上下文 SecurityContext 不知
spring security reactive获取security context
weixin_33827965的博客
03-18 2493
序 本文主要研究下reactive模式下的spring security context的获取。 ReactiveSecurityContextHolder springboot2支持了webflux的异步模式,那么传统的基于threadlocal的SecurityContextHolder就不管用了。spring security5.x也支持了reactive方式,这里就需要使用reactiv...
安全认证之SecurityContextHolder
花&败
11-28 3万+
简介 1)SecurityContextHolderSpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBALSecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
异步线程携带Spring Security的上下文SecurityContext
最新发布
u013067015的博客
03-25 166
SecurityContext上下文
Spring Security 的基本组件 SecurityContextHolder
Details Inside Spring
08-10 3万+
Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContextHolder的工作原理 缺省工作模式 MODE_THREADLOCAL 我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么Securi...
SecurityContextHolderSecurityContext
也许是我送你哦
05-19 664
SecurityContextHolder.getContext().setAuthentication(authentication); 走源码,发现是ThreadLocal //当前线程 private static SecurityContextHolderStrategy strategy; public static SecurityContext getContext() { return strategy.getContext(); } ThreadLocalSecurityCon
SpringSecurity---SecurityContextHolder详解
池海
03-13 1万+
巴拉巴拉: 之前在使用SpringSecurity的过程中并没有把很多东西理解透彻,找了很多学习资料也都只是是很浅显了告诉你怎么使用这个东西。现在只能自己回过头来研究研究。。。。终究是一个人扛下了所有/(ㄒoㄒ)/~~。GO,现在越看spring源码越觉得里面注释是真的详细,虽然英语很菜耐不住有翻译哈哈哈。 介绍: 看了几篇大佬的技术博客里面都介绍到,SecurityContextHolder是保...
Spring Security SecurityContextHolder安全上下文信息)
疯一样的码农
11-19 2117
在本篇博客中,我们将讨论 Spring Security 的组件,包括其实现方式、关键特性,并通过实际示例进行说明。
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1107
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
Spring Security in Action
11-22
Spring Security 中,身份验证是通过 AuthenticationManager AuthenticationProvider 实现的。AuthenticationManager 负责管理身份验证过程,而 AuthenticationProvider 负责执行具体的身份验证逻辑。 在 ...
springSecurity系列之 SecurityContextHolderSecurityContext
weixin_39802680的博客
03-27 1628
SecurityContextHolder SecurityContextHolderspring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext安全上下文 SecurityContext SecurityContext 可以理
SpringSecuritySecurityContextHolder详解
无限进步的博客
03-26 2907
SpringSecuritySecurityContextHolder详细解释
Spring security
金溪的博客
03-29 827
SecurityContext&Authentication org.springframework.security.core.context.SecurityContext接口表示的是当前应用的安全上下文。通过此接口可以获取设置当前的认证对象。org.springframework.security.core.Authentication接口用来表示此认证对象。通过认证对象的方法可...
SecurityContextHolder
weixin_57128596的博客
09-14 3052
SecurityContextHolderSpring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
SpringSecurity核心组件
RO_wsy的专栏
03-17 5867
SecurityContextHolder, SecurityContextAuthentication SecurityContextHolderSpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 SecurityContext
Spring框架中SecurityContextHolder类的使用详解(未完待续)
热门推荐
reggergdsg的博客
03-01 5万+
Spring框架借助ThreadLocal来保存传递用户登录信息。我们通常是使用下面这段代码,来获取保存在ThreadLocal中的用户信息。 SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 一,我们来看一下源代码 public class SecurityContextHolde
Spring Security安全上下文持有者SecurityContextHolder介绍与Debug分析
kaven
01-23 5583
SecurityContextHolder 将给定的SecurityContext与当前执行线程相关联,此类提供了一系列委托给SecurityContextHolderStrategy实例的静态方法,此类的目的是提供一种方便的方法来指定应该用于给定JVM的策略,这是JVM范围的设置,因为此类中的所有内容都是static修饰,方便调用。 要指定使用哪种策略,必须提供模式设置,模式设置是定义为static final字段的三个有效设置之一,或者是提供公共无参构造方法的SecurityContextHolderS
史上最简单的Spring Security教程(四十一):SecurityContextHolderSecurityContextHolderStrategy详解
银河架构师的博客
11-25 6617
如何静态的、较为方便的获取当前系统已登录的用户的信息?这恐怕就要靠 Spring Security 框架的另外一个“著名”的组件类SecurityContextHolder了。 /** * Associates a given {@link SecurityContext} with the current execution thread. */ SecurityContextHolder类最核心的作用,便是将当前给定的 SecurityContext 与 当前执行线程绑定,从而方便...
如何在Spring Security中动态加载角色权限?
11-26
2. **启用SecurityContext自动刷新**:在Spring Security的配置文件中,开启`SecurityContextHolder.MODE_INHERITABLETHREADLOCAL`模式,以便在用户上下文切换时自动更新权限信息。 ```yaml spring: security: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值