Spring Security基本框架之登录数据保存

已于 2022-11-12 22:52:39 修改
阅读量2.9k 收藏 8
点赞数 2
分类专栏: Spring Security 文章标签: Spring
于 2022-11-12 22:35:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27062249/article/details/127826362
版权

本文内容来自王松老师的《深入浅出Spring Security》,自己在学习的时候为了加深理解顺手抄录的,有时候还会写一些自己的想法。

        如果不使用Spring Security这一类的安全框架,大部分开发者可能将会把登录信息保存在Session中。事实上Spring Security也是这么做的。但是为了方便,Spring Security在此基础上还做了一些改进,其中主要的一个变化就是线程绑定(一提到线程绑定,敏感的小伙伴就应该会想到ThreadLocal)。

        当用户登录成功后,Spring Security会将登录成功的用户信息保存在SecurityContextHolder中。SecurityContextHolder中保存的数据默认是通过ThreadLocal来实现的,使用ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和当前请求线程绑定在一起。当登录请求处理完毕后,Spring Security会将保存在SecurityContextHolder中的熟路拿出来保存到Session中,同时将SpringContextHolder中的数清空。以后每次请求到来时,Spring Security就会先从Session中取出数据保存到SecurityContextHolder中,方便该请求在后续处理中使用。在请求处理结束时将SecurityContextHolder中的数据拿出来放入Session中,然后清空SecurityContextHolder中的数据。

        这一策略非常方便用户在Controller或者Service层中获取当前登录用的数据,但是带来另外一个问题就是在子线程中如果想要获取当前登录用户的信息就比较麻烦。Spring Security也提供了对应的解决方案,如果开发者使用@Async注解来开启一步任务的话,那么只需要添加如下配置使用Spring Security提供的异步任务代理,就可以在异步任务中的SecurityContextHolder获取当前登录用户的信息了:

@Configuration
public class ApplicationConfiguration extends AsyncConfigurerSupport {
    @Override
    public Executor getAsyncExecutor() {
        return new DelegatingSecurityContextExecutorService(Executors.newFixedThreadPool(5));
    }
}

大后生大大大
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security实现下次自动登录功能过程解析
08-25
Spring Security 是一个强大的安全框架,用于管理Web应用的访问控制。在本文中,我们将深入探讨如何使用Spring Security实现“记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的...
Spring Security 将用户数据存入数据
09-07
本篇主要讨论如何使用Spring Security 将用户数据存入数据库,以便更好地理解和应用这个框架。 首先,Spring Security 提供了 `UserDetailsService` 接口,该接口是连接数据源与安全机制的关键。它允许我们从不同的...
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 1010
以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据保存SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
SpringSecurity登录用户数据获取
z318913的博客
07-12 2976
SpringSecurity登录用户数据获取
security如何保存用户信息,如何获取用户信息(一)(含部分securityHolder源码分析)
最新发布
m0_64106946的博客
05-19 434
SecurityContextPersistenceFilter 先从HttpSession中读取SecurityContext出来,存入SecurityContextHolder以备后续使用,当请求离开SecurityContextPersistenceFilter的时候,获取最新的SecurityContext并存入HttpSession中,同时清空SecurityContextHolder中的登录信息。但对于我们的前后端分离的情况,一般都用jwt,若开启session(默认),那么每次。
Spring Security登录 成功后用于信息保存
ywb201314的专栏
05-26 2442
在上片博客中 记录了登录流程:那登录信息如果用户信息保存到哪里了呢? 看最后源码: 在抽象类 AbstractAuthenticationProcessingFilter 拦截并做登录处理后 最后会调用 successfulAuthentication(request, response, chain, authResult); 1 方法 successfulAuthentication 中可以明确看到 信息保存到了SecurityContextHolder.getContext().setAuthen
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2384
Spring Security 之 RememberMe
Spring Security登录成功后,用户信息保存在哪,如何获取?
热门推荐
weixin_42449408的博客
11-28 1万+
当前用户获取信息 我们在SecurityContextHolder内存储目前与应用程序交互的主要细节。Spring Security使用一个Authentication对象来表示这些信息。 你通常不需要创建一个自我认证的对象,但它是很常见的用户查询的Authentication对象。你可以使用以下代码块-从你的应用程序的任何部分-获得当前身份验证的用户的名称,例如: 获取登录用户信息 Authentication authentication = SecurityContextHolder.getCont
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8721
SpringSecurity总结
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
Spring Security 3多用户登录实现之九 基于持久化存储的自动登录
04-13
在“Spring Security 3多用户登录实现之九 基于持久化存储的自动登录”这一主题中,我们将探讨如何利用Spring Security来实现多用户登录系统,并通过持久化存储来支持用户的自动登录功能。在这个过程中,我们会涉及...
Spring Security登录账户自定义与数据持久化(5)
weixin_43831002的博客
08-03 1029
在前面的案例中,我们的登录用户是基于配置文件来配置的(本质是基于内存),但是在实际开发中,这种方式肯定是不可取的,在实际项目中,用户信息肯定要存入数据库之中。Spring Security支持多种用户定义方式,接下来我们就逐个来看一下这些定义方式。...
SpringBoot - 安全管理框架Spring Security使用详解(8)-配置多个HttpSecurity
Andy's Blog
06-06 686
在之前的文章中我们都只配置一个HttpSecurity,如果业务比较复杂,我们也可以配置多个HttpSecurity,实现对WebSecurityConfigurerAdapter的多次扩展。 八、配置多个 HttpSecurity 1,样例代码 (1)配置多个HttpSecurity时,MultiHttpSecurityConfig不需要继承WebSecurityConfigurerAdapter,而是在MultiHttpSecurityConfig中创建静态内部类继承...
循序渐进雪spring security 第四篇,登录流程是怎样的?登录用户信息保存在哪里?
huangxuanheng的专栏
07-25 1586
文章目录回顾探索登录流程探索UsernamePasswordAuthenticationFilter 的attemptAuthentication 验证方法探索AuthenticationManager#authenticate(authRequest) 验证过程用户登录后的信息是如何保存的? 想必很多人接触了spring security 后都想知道,登录流程是怎么样的? 今天悬弧带大家扒了登录流程源码的外衣,透过光溜溜的源码分析spring security登录流程 回顾 我们在《循序渐进学习spri
Spring Security学习笔记-登录
qq_35876261的博客
05-03 98
由于HTTP是无状态的,当用户登录成功后断开连接,等下次再次登录时不会记录你之前的登录状态,所以我们必须自己保存登录状态,一般有两种方法有状态和无状态两种方法 有状态登录 服务器会保存局部信息,会保存回话的客户信息,然后给客户端一个cookie来记录SessionID,客户端访问时会携带SessionID,服务器通过SessionID找到用户信息。 优点:便于管理,可以随时对客户信息进行操作 缺点: 当登用户过多时,服务器保存数据太多会造成一定压力 不支持集群部署 在移动端可能不支持cooki
Spring Security 登录获取用户信息流程分析
CHENFU_ZKK的博客
09-06 3429
Spring Security 登录获取用户信息流程分析
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2306
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据SecurityContext 的存储和擦除内部
Spring Boot Security认证:Redis缓存用户信息
学IT,找陈寒
12-24 7985
Spring Boot SecuritySpring框架的一个子项目,它提供了全面而灵活的安全性解决方案。通过Spring Boot Security,我们可以轻松地实现用户认证、授权、会话管理等功能,而且可以方便地与Spring Boot应用集成。本文介绍了如何使用Spring Boot Security进行认证,并通过Redis缓存用户信息以提高系统性能。通过配置,我们成功地将用户信息存储到了Redis中,并在Spring Security中进行了集成。
springsecurity保存信息
08-13
Spring Security登录成功后会将登录用户的信息保存SecurityContextHolder中。这个信息会通过线程绑定的方式与当前请求线程关联起来,确保只有当前线程可以访问和修改这些用户数据。默认情况下,Spring Security使用ThreadLocal来实现线程绑定,这意味着这些用户数据只能被当前线程访问。 在请求处理结束后,Spring Security会将SecurityContextHolder中的用户数据从中取出并保存到Session中。然后清空SecurityContextHolder中的数据。这样,在后续的请求处理中,Spring Security就可以从Session中取出用户数据,方便使用。这种方式既方便了开发者的使用,又保证了用户数据的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SpringSecurity登录用户数据获取](https://blog.csdn.net/z318913/article/details/125741276)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Spring Security基本框架登录数据保存](https://blog.csdn.net/qq_27062249/article/details/127826362)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值