SpringSecurity之SecurityContext和Authentication对象

最新推荐文章于 2024-08-23 16:35:38 发布
最新推荐文章于 2024-08-23 16:35:38 发布
阅读量5.1k 收藏 13
点赞数
分类专栏: Spring SpringBoot2启示录 文章标签: spring security securitycontext spring security authentication
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moshowgame/article/details/96290686
版权

下面开始讨论几个 Spring Security 里面的核心对象。

  • org.springframework.security.core.context.SecurityContext接口表示的是当前应用的安全上下文。通过此接口可以获取和设置当前的认证对象。
  • org.springframework.security.core.Authentication接口用来表示此认证对象。通过认证对象的方法可以判断当前用户是否已经通过认证,以及获取当前认证用户的相关信息,包括用户名、密码和权限等。

要使用Authentication认证对象,首先需要获取到 SecurityContext 对象。通过 org.springframework.security.core.context.SecurityContextHoldergetContext() 的静态方法 就可以获取。再通过 SecurityContext.getAuthentication()就可以得到Authentication。通过认证对象的 Authentication.getPrincipal() 方法就可以获得当前的认证主体

认证主体通常是 UserDetails 接口的实现,典型的认证过程就是当用户输入了用户名和密码之后,UserDetailsService通过用户名找到对应的 UserDetails 对象,接着比较密码是否匹配。如果不匹配,则返回出错信息;如果匹配的话,说明用户认证成功,就创建一个实现了 Authentication接口的对象,如 org.springframework.security. authentication.UsernamePasswordAuthenticationToken 类的对象。再通过 SecurityContext.setAuthentication() 方法来设置此认证对象。

//获取当前认证用户的用户名
public static String getAuthenticatedUsername() { 
   String username = null; 
   Object principal = SecurityContextHolder.getContext() 
       .getAuthentication().getPrincipal(); 
   if (principal instanceof UserDetails) { 
       username = ((UserDetails) principal).getUsername(); 
   } else { 
       username = principal.toString(); 
   } 
   return username; 
}

默认情况下(Web应用来说),SecurityContextHolder使用 ThreadLocal来保存 SecurityContext对象。因此,SecurityContext对象对于当前线程上所有方法都是可见的。这种实现对于 Web 应用来说是合适的。

不过在有些情况下,如桌面应用,这种实现方式就不适用了。Spring Security 允许开发人员对此进行定制。开发人员只需要实现接口 org.springframework.security.core.context.SecurityContextHolderStrategy并通过 SecurityContextHolder.setStrategyName(String)方法让 Spring Security 使用此实现即可。

另外一种设置方式是使用系统属性。Spring Security 默认提供了另外两种实现方式:

  • SecurityContextHolder.MODE_GLOBAL表示当前应用共享唯一的 SecurityContextHolder;
  • SecurityContextHolder.MODE_INHERITABLETHREADLOCAL表示子线程继承父线程的 SecurityContextHolder。
//使用全局唯一的 SecurityContextHolder的示例。
public void useGlobalSecurityContextHolder() { 
   SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_GLOBAL); 
}
Moshow郑锴
关注
专栏目录
Spring Security 6.x 系列【19】源码篇之安全上下文SecurityContext
记录知识、锤炼自我
04-17 699
Spring中的Context上下文,大家都知道是容器,用来存放Bean对象,那么中的也是容器,用来存放用户认证信息。
Spring Security学习笔记(二)Spring Security认证和鉴权
飞!!!的博客
07-24 1378
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
Spring Boot 2.x实战78 - Spring Security 2 - Spring Security的认证(Authentication
汪云飞记录本
06-18 1482
1.3 Authentication Spring Security为我们提供了一个专门的org.springframework.security.core.Authentication接口来代表认证;它最常用的实现类有UsernamePasswordAuthenticationToken。 一旦请求被认证后,Authentication对象就会自动存储在由SecurityContextHolder管理的SecurityContext中。 认证的原理通过下面类的处理顺序来进行的: FilterChain
记录使用Spring Security 6.版本遇到的一些坑
最新发布
m0_61048905的博客
08-23 301
4.解决完之后,请求url没有被拦截了,然后我又出现输入账号密码是正确的,但是又一直不通过的情况。1.一开始使用requestMatchers().permitAll(),发现加入里面的url还是被拦截,在网上查找后使用了 WebSecurityCustomizer ignoringCustomizer()。3.再次查找资料后发现解决这个的办法是,使用requestMatchers().permitAll(),但是需要在filter中设定匿名用户的身份验证信息ROLE_ANONYMOUS。
SecurityContextHolder, SecurityContext and Authentication Objects
Stainky的专栏
10-12 1722
SecurityContextHolder, SecurityContext and Authentication Objects 最重要并且最根本的object是SecurityContextHolder,我们将当前应用security上下文的所有数据保存在里面,这些数据包括应用系统中使用的principle数据。SecurityContextHolder默认使用ThreadLocal局部变量
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 3003
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的...
cotroller中使用SecurityContextHolder.getContext().getAuthentication()返回null值
FigBB的博客
04-30 2437
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
java身份验证系统_java – 具有默认系统身份验证/用户的SecurityContext
weixin_30445963的博客
02-26 243
如果得到以下解决方案,这是非常光滑,不会碰撞或干扰任何事情.一般来说,我有两种情况,我将有一个空身份验证:>主系统线程.>执行计划任务. (可根据用例使用MODE_INHERITABLETHREADLOCAL配置解决,更多详细信息请参见下文.)解决方案1.这仍然是主系统线程的问题.只需在系统启动时设置上下文即可轻松处理.另外,我将SecurityContextHolder配置为使用In...
Spring Security如何基于Authentication获取用户信息
08-19
Spring Security的体系中,每个安全相关的请求都会与一个Authentication对象关联,该对象存储在SecurityContext中,而SecurityContext又由SecurityContextHolder持有。下面将详细介绍如何在Spring Security中基于...
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 782
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1032
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
SpringSecurity框架的认证和授权过程
qq_45932382的博客
12-22 4228
一、认证过程 1、编写自定义的过滤器TokenLoginFilter,继承UsernamePasswordAuthenticationFilter,重写 attemptAuthentication、successfulAuthentication、unsuccessfulAuthentication方法,attemptAuthentication方法获取前端提交的用户名和密码,封装成Authentication对象。 successfulAuthentication方法认证成功时调用,unsucces
SecurityContextHolder.getContext().getAuthentication()为空的解决
热门推荐
softwarehe的专栏
07-03 3万+
昨天在公司测试spring security,在controller里边发现SecurityContextHolder.getContext().getAuthentication()始终为null,百思不得其解,google上查半天也没解决,这样那样的说法都有,回家后继续google,结果有一阵不知搜什么词语了不让继续访问了,只好用百度,别说真找到答案了,头一次百度在技术搜索战胜了google,
SpringBoot使用Security认证框架
xq12009的博客
03-07 297
本文章包含Security的认证和授权方法 并且在执行Security之前会执行自已编写的PowerFilter过滤器 而且登录信息会存入Redis,也会从Redis取 本文章只是加各种根据类 使用方法前往:https://www.ifnice.cn/archives/26 需要注意: SecurityConfig,45行需要改成你的登录接口地址 LoginUser,需要改动一些东西,注意看注释 PowerFilter,为自已的拦截器,在执行Security之前会执行自已编写的PowerFilter过
SpringSecurity框架原理浅谈之AuthenticationManager
黄先生的博客
02-10 3217
AuthenticationManager这个接口方法非常奇特,入参和返回值的类型都是Authentication。该接口的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据,否则将抛出认证异常AuthenticationException。
Spring Security:身份验证令牌Authentication介绍与Debug分析
写写平时的技术与感想
05-23 2488
它是接口的基类,使用此类的实现应该是不可变的(模板模式)。-- -- > // 权限列表 private final Collection < GrantedAuthority > authorities;// 存储有关身份验证请求的其他详细信息,可能是IP地址、证书序列号等 private Object details;// 是否已验证,默认为false private boolean authenticated = false;/*** 使用提供的权限列表创建一个身份验证令牌。
SecurityContextHolder.getContext().setAuthentication(auth)重新设值
july_young的博客
11-09 1万+
String role = roleMapper.findByUserIdAndOrgId(AuthenticationUtils.getUserId(),po.getId()); SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role) ; List&lt;SimpleGrantedAuthorit...
Spring Security Authentication
07-28
Spring Security AuthenticationSpring Security 框架中的一个关键概念。它提供了身份验证(Authentication)的功能,用于验证用户的身份和凭据。 在 Spring Security 中,身份验证是通过 AuthenticationManager 进行的。AuthenticationManager 是一个接口,定义了身份验证的方法。它通常由 ProviderManager 实现,ProviderManager 可以配置多个 AuthenticationProvider,每个 Provider 都负责特定类型的身份验证。 在进行身份验证时,用户提供的凭据将被封装为一个 Authentication 对象,并传递给 AuthenticationManager 进行验证。AuthenticationManager 将根据配置的 AuthenticationProvider 逐个尝试进行验证,直到找到一个能够成功验证该凭据的 Provider。如果所有 Provider 都无法验证凭据,将抛出相应的异常。 一旦成功验证了用户的凭据,AuthenticationManager 将返回一个经过填充的 Authentication 对象,其中包含有关用户身份的信息和权限。这个经过验证的 Authentication 对象将被存储在 SecurityContext 中,以供后续的授权(Authorization)过程使用。 在 Spring Security 中,我们可以使用不同的凭据进行身份验证,比如用户名/密码、基于令牌的身份验证等。同时,Spring Security 还提供了灵活的配置选项,可以根据需求自定义身份验证的流程和规则。 希望以上内容对你有所帮助!如果还有其他问题,请继续提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值