Spring Security(五)

最新推荐文章于 2024-04-20 15:22:51 发布
最新推荐文章于 2024-04-20 15:22:51 发布
阅读量352 收藏 1
点赞数
分类专栏: java 文章标签: spring java 策略模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49532843/article/details/126829403
版权

登录用户数据的获取

在 Spring Security 中,用户登录信息本质上还是保存在HttpSession中,但为了方便使用,Spring Security 对HttpSession中的用户信息进行了封装。我们可以通过以下两种思路获取用户登录信息:

  1. 从SecurityContextHolder 中获取。
  2. 从当前请求对象中获取。

无论是哪种获取方式,都离不开Authentication,在Spring Security 中,Authentication 对象主要有两方面功能;

  1. 作为AuthenticationManager 的输入参数,提供用户身份认证的凭证,当它当作一个输入参数时,它的isAuthenticated方法返回的时false,表示用户还未认证。
  2. 代表已经经过身份认证的用户,此时的 Authentication 可以从 SecurityContext 中获取。

Authentication 主要包含三个方面的信息:

  1. principal:定义认证的用户。如果用户使用用户名/密码的方式登录,principal 通常就是一个UserDetails对象。
  2. credentials:登录凭证,一般就是指密码。当用户登录成功之后,登录凭证会被自动移除,以防止泄露。
  3. authorities:用户被授予的权限信息。
SecurityContextHolder

SecurityContextHolder.getContext() 是一个静态方法,也就意味着我们随时随地都可以获取到登录用户信息。如下:

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("/info")
    public void userInfo(){
        Authentication authentication = SecurityContextHolder
                    .getContext().getAuthentication();
        String name = authentication.getName();
        Collection<? extends GrantedAuthority> authorities = authentication
                        .getAuthorities();
    }
}

SecurityContextHolder 中存储的是SecurityContext ,SecurityContext 中存储的是Authentication,三者关系如下:
在这里插入图片描述
SecurityContextHolder 中定义了三种不同的数据存储策略。(典型的策略模式)

  1. MODE_THREADLOCAL :这种存放策略是将SecurityContext 存放在ThreadLocal中,ThreadLocal 的特点是在哪个线程中存储就要在哪个线程中读取。这也是SecurityContextHolder 的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
  2. MODE_INHERITABLETHREADLOCAL :这种存储模式适合于多线程环境,如果希望在子线程中也能够获取到登录用户的数据,那么可以采用这种存储模式。
  3. MODE_GLOBAL :这种存储模式实际是将数据保存到一个静态变量中,在Web开发中,很少使用。

Spring Security 中定义了SecurityContextHolderStrategy 接口来规范存储策略中的方法,如下:

public interface SecurityContextHolderStrategy {
    //用来清除存储的SecurityContext 对象
	void clearContext();
	//用来获取存储的SecurityContext 对象
	SecurityContext getContext();
	//用来设置存储的SecurityContext 对象
	void setContext(SecurityContext context);
	//用来创建一个空的SecurityContext 对象
	SecurityContext createEmptyContext();
}

在SecurityContextHolderStrategy 接口一共有三个实现类,对应三种不同的策略模式,如图:
在这里插入图片描述
ThreadLocalSecurityContextHolderStrategy:用ThreadLocal 作为存储数据的载体,所以针对SecurityContext 的清空、获取以及存储,都是在ThreadLocal 中进行操作的。SecurityContext 是一个接口,它只实现了SecurityContextImpl,所以创建就直接新建了一个SecurityContextImpl对象即可。

InheritableThreadLocalSecurityContextHolderStrategy:它和ThreadLocalSecurityContextHolderStrategy 的实现此策略基本一致,不同的是存储数据的载体变了,InheritableThreadLocalSecurityContextHolderStrategy 中是用InheritableThreadLocal ,InheritableThreadLocal继承了ThreadLocal,但是多了一个特性,就是在子线程创建的一瞬间,会自动将父线程中的数据复制到子线程中。正是利用这一特性,实现了子线程中获取用户的登录信息。

GlobalSecurityContextHolderStrategy:它是用一个静态方法来保存SecurityContext,所以它也可以在多线程环境下使用。但是一般在web开发中,这种存储策略使用的较少。

如果我们需要修改存储策略,可以配置VM options参数,如下;

-Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL

这样子线程中也能获取到用户的信息了。

来回横跳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity学习笔记之:认证用户
zhoucheng05_13的博客
03-05 3105
如果我们使用如下的最简单的配置,那么就能无偿地得到一个登陆页面:package spitter.config; ...... @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter{}  实际上,在重写configure(HttpSecurity)之前,我们都
Spring Security教程()
码猿同学
01-10 5426
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包
Spring Security 5.1 中文 参考手册 中文文档
06-25
Spring Security 5.1 中文 参考手册 中文文档 中文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
Spring Security(5)
分享专业、有用、有趣的技术、产品、运营和管理知识。
11-25 326
经常上网的人都应该有这样的体验:很多网站或者APP只需要第一次登录时输入用户名和密码之后,后面很长一段时间内就不需要再次输入密码了。这确实是一个非常好的体验,不然每次都让人输用户名和密码就太麻烦了。
InheritableThreadLocal
最新发布
weixin_70280523的博客
04-20 611
666
Spring Security5 介绍
https://gitee.com/micai-code
06-10 1662
Spring Security5 介绍 Spring Security 应该属于 Spring 全家桶中学习曲线比较陡峭的几个模块之一,下面我将从起源和定义这两个方面来简单介绍一下它。 起源: Spring Security 实际上起源于 Acegi Security,这个框架能为基于 Spring 的企业应用提供强大而灵活安全访问控制解决方案,并且框架这个充分利用 Spring 的 IoC 和 AOP 功能,提供声明式安全访问控制的功能。后面,随着这个项目发展, Acegi Security 成为了Sp
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity.md
07-21
SpringSecurity.md
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
Spring Security in Action
11-22
Spring Security in Action
springSecurity
10-14
springSecurity
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,需要的朋友可以参考下。
Spring5学习(二)-spring projects之Spring Security
Jalen备忘录
12-04 594
Spring Security Spring Security is a powerful and highly customizable(定制的) authentication(认证) and access-control framework. It is the de-facto(事实上的) standard(标准) for securing Spring-based application
Spring Security5+ 用户认证、授权及注销
静水流深,沧笙踏歌
04-16 2818
Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求。虽然拦截器、过滤器也可以在一定程度上起到安全认证的作用,但是对码农来说,大量原生的代码及代码冗余,十分的不友好。本文以Spring Security5.6.2版本来对用户认证、授权、注销及权限控制做个说明。 一、Spring Security简单介绍 1、到博主写博客的时间为止,Spring Secur
Spring Boot 2 + Spring Security 5 实现权限认证:基于内存的身份认证
海风的博客
04-13 189
一 配置类 在src/main/java目录中,创建SimpleWebSecurityConfig配置类 package com.pet.demo.config.web; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotatio.
Spring Security系列(1)-Security5简介及入门案例
宝宝的博客
06-17 561
​ 本文基本上是引用大佬的文章:云烟成雨TD的博客-CSDN博客 只是加入一点点我自己的补充,没有大佬的专业,此文是我的笔记,方便我自己看,具体的还是可以去看大佬的.
【设计模式&框架实战】 SpringSecurity中的策略模式(获取Principal-User对象)
CTRA®王大大技术中心
01-23 1270
1、SpringSecurity策略模式 这段代码采用了声明的:策略模式 strategy 源码如下: public class SecurityContextHolder { public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL"; public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL"; public
springboot的springsecurity配置
tgb7895的博客
07-11 263
springsecurity配置 第一步创建SecurityConfig /** * SpringSecurity的配置 */ @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled=true) public class SecurityConfig extends WebSecurityConf...
SpringSecuritySpringBoot方式笔记
AC_sunK的博客
01-22 174
SpringSecurity配置笔记–boot 文章目录SpringSecurity配置笔记--boot一、什么是SpringSecurity二、有什么功能三、SpringSecurity的使用使用默认配置的Security1、引入依赖2、默认什么都不配置(在yml中配置用户名和密码)3、登陆效果使用自定义配置(不使用数据库)1、引入依赖2、创建配置类并进行配置3、登陆效果使用数据库进行用户登陆验证1、引入依赖2、创建配置类3、创建UserDetailService实现类4、登陆效果四、SpringSecu
springsecurity张表
03-12
Spring Security 中,通常需要使用张表来存储用户信息、角色信息、权限信息等。这张表分别是:用户表、角色表、权限表、用户角色关联表和角色权限关联表。这些表的设计和具体实现可以根据具体的业务需求进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值