Spring Security认证之登录用户数据获取

最新推荐文章于 2024-05-19 15:38:09 发布
最新推荐文章于 2024-05-19 15:38:09 发布
阅读量3.2k 收藏 6
点赞数 2
分类专栏: Spring Security 文章标签: SecurityContext 用户信息获取
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27062249/article/details/127911350
版权

本文内容来自王松老师的《深入浅出Spring Security》,自己在学习的时候为了加深理解顺手抄录的,有时候还会写一些自己的想法。

登录用户数据获取

        登录成功之后,在后续的业务逻辑中开发者可能还需要获取到登录成功的用户对象,如果不是用任何安全管理框架那么可以将用户信息保存在HttpSession中,如果以后需要的话可以从HttpSession中获取数据。在Spring Security汇总,用户登录信息本质上还是保存在HttpSession中的,但是为了方便使用Spring Security对HttpSession中的用户信息进行了封装。

        获取登录用户的信息离不开一个重要的对象:Authentication。在Spring Security中,Authentication对象主要由两方面功能:

  • 作为AuthenticationManager的输入参数,提供用户身份认证的凭证。当它作为一个入参是,它的isAuthenticated方法返回false,表示用户还未认证。
  • 代表已经认证过的用户,此时的Authentication可以从SecurityContext中获取。

        一个Authentication对象主要包含三个方面的信息:

  • principal:定义认证的用户。如果用户使用用户名、密码的方式登录,principal通常就是一个UserDetails对象。
  • credentials:登录凭证,一般是指密码。当用户登录成功之后,登录凭证就会自动擦数,以防泄漏。
  • authorities:用户被授予的权限信息

        Java中本身提供了一个Principal接口来描述认证主体,Principal可以代表一个公司、个人或者登陆者ID。Spring Security中定义了Authentication接口用来规范登录用户信息,Authentication继承自Principal:


public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

        这里接口中定义的方法都很好理解:

  • getAuthorities方法:用来获取用户权限
  • getCredentials方法:用来获取用户凭证,一般来说是密码
  • getDetails方法:用来获取用户详细信息,可能是当前请求之类
  • getPrincipal方法:用来获取当前用户信息,可能是一个用户名,也可能是一个用户对象
  • isAuthenticated方法:当前用户是否认证成功

        可以看到在Spring Security中,只要获得Authentication对象就能获取到登录用户的详细信息。

        不同的认证方式对应不同的Authentication实例。在Spring Security中的Authentication实例类如下图:

        这些实现类看起来可能比较陌生,在后续的学习中这些实现类基本上都会涉及。在这些Authentication的实例中,最常用的的两个类:UsernamePasswordAuthenticationToken和RememberMeAuthentication。这里我们先混个眼熟,后面的学习中我们会学习到。大致了解了Authentication对象之后,接下来我们看下如何在登录成功后获取用户登录信息,即Authentication对象。

从SecurityContextHolder中获取

        在前面的学习项目中增加一个UserController,内容如下:

/**
 * @author tlh
 * @date 2022/11/17 21:11
 */
@RestController
public class UserController {

    @GetMapping("/user")
    public Object userInfo() throws JsonProcessingException {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        String name = authentication.getName();
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        ObjectMapper mapper = new ObjectMapper();
        Map userMap = new HashMap(2);
        userMap.put("userName", name);
        userMap.put("authorities", authorities);
        return mapper.writeValueAsString(userMap);
    }
}

        配置成功后启动项目,登录成功后访问/user接口,会返回用户名字和用户所拥有的的权限信息:

        这里看到SecurityContextHolder.getContext( )是一个静态方法,也就意味着我们随时可以获取到登录的用户信息,在service层中也可以轻松获取到。获取用户登录信息的代码很简单,那么SecurityContextHolder到底是什么?它里面的数据又是从何而来的?

 

SecurityContextHolder

        SecurityContextHolder中存储的是SecurityContext,SecurityContext中存储的是Authentication。三者的关系如下图:

 

        在SecurityContextHolder中存储SecurityContext定义了三种存储模式。使用的典型的策略模式。

  • MODE_THREADLOCAL:该种模式存放策略是将SecurityContext存放在ThreadLocal中。大家都知道ThreadLocal的特点就是在哪个线程中存储就只能在对应的线程中读取到,这个模式非常合适Web应用。应为一个请求无论经过多少个Filter到达Servlet都是有一个线程来处理。该模式也是Spring Security默认的存储SecurityContext的模式。
  • MODE_INHERITABLETHREADLOCAL:该种存储模式适用于多线程环境,如果希望子线程也能获取到登录用户的数据,就可以使用该模式。
  • MODE_GLOBAL:该模式实际使用了一个静态变量来存储SecurityContext。 

        我们看到SecurityContextHolder的源码大致上就看明白:

public class SecurityContextHolder {
    public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
    public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
    public static final String MODE_GLOBAL = "MODE_GLOBAL";
    private static final String MODE_PRE_INITIALIZED = "MODE_PRE_INITIALIZED";
    public static final String SYSTEM_PROPERTY = "spring.security.strategy";
    private static String strategyName = System.getProperty("spring.security.strategy");
    private static SecurityContextHolderStrategy strategy;
    private static int initializeCount = 0;

    public SecurityContextHolder() {
    }

    private static void initialize() {
        initializeStrategy();
        ++initializeCount;
    }

    //根据 strategyName 来加载对应的SecurityContextHolderStrategy(定义了各种保存SecurityContext的策略接口)
    private static void initializeStrategy() {
        if ("MODE_PRE_INITIALIZED".equals(strategyName)) {
            Assert.state(strategy != null, "When using MODE_PRE_INITIALIZED, setContextHolderStrategy must be called with the fully constructed strategy");
        } else {
              //默认采用ThreadLocal保存SecurityContext
            if (!StringUtils.hasText(strategyName)) {
                strategyName = "MODE_THREADLOCAL";
            }
            if (strategyName.equals("MODE_THREADLOCAL")) {
                strategy = new ThreadLocalSecurityContextHolderStrategy();
            } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) {
                //InheritableThreadLocal不同于ThreadLoca在于在创建子线程时会将父线程中的数据复制到子线程中
                strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
            } else if (strategyName.equals("MODE_GLOBAL")) {
                //采用一个静态变量保存SecurityContext
                strategy = new GlobalSecurityContextHolderStrategy();
            } else {
                try {
                    Class<?> clazz = Class.forName(strategyName);
                    Constructor<?> customStrategy = clazz.getConstructor();
                    strategy = (SecurityContextHolderStrategy)customStrategy.newInstance();
                } catch (Exception var2) {
                    ReflectionUtils.handleReflectionException(var2);
                }
            }
        }
    }
    //省略。。。
}

        

大后生大大大
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security基于数据认证用户登录
Leslie-心蓝
01-03 2276
Spring Security为我们提供了默认的登录页面,通过重写以AuthenticationManagerBuilder为参数的configure方法,我们可基于各种数据存储来认证用户,比如内存、关系型数据库以及LDAP,也可以编写自定义的用户存储实现。 问题 在使用基于数据库表进行认证时,我重写的configure如下 @Autowired DataSource datasourc...
Spring Security实现用户认证
TheSeasonSun的博客
03-03 1004
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。像所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制要求。 1.1、什么是认证 认证简单说就是登录,查询数据库看看登录用户数据库存不存在 1.2、Spring Security认证原理 ​ 1.2.1、Spring Security登录
04 动力云客之登录获取用户信息+JWT存进Redis+Filter验证Token + token续期
m0_46671240的博客
02-20 549
非常好实现. 只要新建一个controller, 并调用SS提供的Authentication对象即可不可以. 因为在安全配置类已经写明了, 仅登陆界面允许任何人访问, 其他所有界面都需要认证<由于未写JWT, 默认使用Session 保存会话,>???好像不对因此只要我们先通过登录接口登录, 然后再直接访问获取用户信息接口即可。
SpringSecurity中的Authentication信息与登录流程
z69183787的专栏
01-19 581
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取
security如何保存用户信息,如何获取用户信息(一)(含部分securityHolder源码分析)
最新发布
m0_64106946的博客
05-19 420
SecurityContextPersistenceFilter 先从HttpSession中读取SecurityContext出来,存入SecurityContextHolder以备后续使用,当请求离开SecurityContextPersistenceFilter的时候,获取最新的SecurityContext并存入HttpSession中,同时清空SecurityContextHolder中的登录信息。但对于我们的前后端分离的情况,一般都用jwt,若开启session(默认),那么每次。
Spring Security-获取当前登录用户的详细信息
xiaokanfuchen86的博客
09-23 2193
Spring框架里面,可以通过以下几种方式获取到当前登录用户的详细信息: 1. 在Bean中获取用户信息 Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (!(authentication instanceof AnonymousAuthenticationToken)) { String currentUserName = authentication.ge
SecurityContextHolder.getContext().getAuthentication() 获取到AnonymousAuthenticationToken
嘻嘻哈哈学技术
03-20 2106
嘻嘻哈哈学技术
详解Spring Security获取当前登录用户的详细信息的几种方法
acerren的博客
08-14 4858
下面就来详细讲解一下Spring Security获取当前登录用户的详细信息的几种方法。
Spring Security 中重要对象汇总
BASK2311的博客
11-30 1169
翻译为:抽象身份验证处理过滤器,这是一个抽象类,定义了认证处理的过程。是一个模板类。默认的实现为,根据用户名、密码进行身份验证,如果需要自定义身份验证,比如手机验证码登录,就需要继承该类。根据注释翻译了一下:为安全对象实现安全拦截的抽象类,干的事情说白点就是对未放行的资源,根据用户的权限来控制是否能访问的拦截器。由于这是一个抽象类,所以只定义了一些逻辑方法,具体执行都是子类去调用的。
Spring Security登录用户数据获取(4)
qq_39853669的博客
10-18 2044
登录成功之后,在后续的业务逻辑中,开发者可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。无论是哪种获取方式,都离不开一个重要的对象:Authentication。可以看到,在Spring Security中,只要获取到Authentication对象,就可以获取登录用户的详细信息;
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
浅析Spring Security登录验证流程
08-25
DaoAuthenticationProvider会在用户登录时调用该方法来加载用户信息Spring Security登录验证流程是一个复杂的过程,涉及到多种登录认证的方式和不同的过滤器链。理解Spring Security登录验证流程对于开发者...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
在这个项目中,SpringSecurity被用来处理用户登录、角色权限分配和防止非法请求。 3. **JPA**:Java Persistence API是Java平台上的ORM(对象关系映射)规范,它允许开发者以面向对象的方式操作数据库,将数据对象...
SpringSecurity之JWT实现token认证和授权.zip
08-09
一旦用户成功认证Spring Security会创建一个Authentication对象,其中包含用户信息。此时,我们可以生成一个JWT并返回给客户端。JWT通常包含用户ID、角色和其他相关权限信息。生成JWT时,需要设置一个密钥(secret...
Java开发之spring security实现基于MongoDB的认证功能
08-28
总结来说,实现基于MongoDB的Spring Security认证功能主要包括以下步骤: 1. 创建一个实现了`UserDetailsService`接口的类,如`CustomUserDetailsService`。 2. 在`loadUserByUsername`方法中使用MongoDB JavaDriver...
【深入浅出 Spring Security(四)】登录用户数据获取,超详细的源码分析
qq_63691275的博客
06-03 2273
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据SecurityContext 的存储和擦除内部
Spring Security(学习笔记)-SecurityContextHolder!
TONGZHOUGONGDU的博客
04-22 1015
匿名访问,多线程获取用户信息
SpringSecurity获取登录用户信息
qq_53101069的博客
11-24 646
springsecurity中从SecurityCOntextHolder中获取用户认证的原理
spring boot获取当前登录用户的id
04-21
感谢您的问题。我可以给您提供一些帮助。您可以使用Spring Security框架来获取当前登录用户的id。您可以注入Authentication对象并使用其getPrincipal()方法来获取当前用户的主要详细信息。然后,您可以从此对象中获取用户ID。 以下是示例代码: ``` @Autowired private AuthenticationFacade authenticationFacade; public String getCurrentUserId() { return authenticationFacade.getAuthentication().getPrincipal().getId(); } ``` 希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值