springsecurity 在web中如何获取用户信息(后端/前端)

已于 2024-08-23 16:51:59 修改
阅读量1.2k 收藏 10
点赞数 41
分类专栏: spirng security 文章标签: spring
于 2024-08-23 15:02:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36260963/article/details/141465550
版权

一、SecurityContextHolder 是什么

   SecurityContextHolder用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在Session中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后Spring Security 会将登录成功的用户信息份存到 SecuritvContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLoca来实现的,使用 ThreadLocal 创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder 中的数据拿出来保存到 Session 中,同时将 SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到 SecuritvContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将 SecuritySecurityContextHolder 中的数据清空。这一策略非常方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据。是一个安全的上下文对象,用于获取身份验证通过的用户信息;

二、SecurityContextHolder 是何时被创建的

 当我们经过表单UsernamePasswordAuthenticationFilter 过滤器后,会回调父类的AbstractAuthenticationProcessingFilter,父类的AbstractAuthenticationProcessingFilter 是一个过滤器,那么肯定有 filter doFilter 方法,进到里面后看到认证成功后,会调用successfulAuthentication 方法,最终看到SecurityContextHolder 被创建成功;

2.1 源码实现

2.2 官方文档说明

三、通过SecurityContextHolder 如何获取认证后的用户信息

通过源码得知,当我们登录成功后,通过SecurityContextHolder.create后放置进去的,那么我们也可以通过get 获取到

3.1 官方文档指导如何获取

3.2 代码获取实战

/**
     *  获取用户信息
     * @return
     */
    @RequestMapping("getUserInf.do")
    @ResponseBody
    public String getUserInf() {
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication authentication = context.getAuthentication();
        System.out.println(authentication);
        try {
            String s = new ObjectMapper().writeValueAsString(authentication);
            return s;
        } catch (JsonProcessingException e) {
            e.printStackTrace();
        }

        return "err";
}

3.3 日志打印结果

四、web 前端获取认证后的信息通过(thymeleaf)

有时候我们想通过前端标签,判断用户有哪些权限或者角色,类似于shiro 标签那种,实际上springsecurity 也有

4.1 导入pom依赖

 <dependency>

        <groupId>org.thymeleaf.extras</groupId>

        <artifactId>thymeleaf-extras-springsecurity5</artifactId>

  </dependency>

4.2 html 标签加上命名空间

<html xmlns="http://www.w3.org/1999/xhtml"

xmlns:th="http://www.thymeleaf.org"

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extrasspringsecurity5">

<div class="container">
        <h1> 获取用户信息,通过标签</h1>

        <!--获取认证用户名-->
        <ul>
            <li sec:authentication="principal.username"></li>
            <li sec:authentication="principal.authorities"></li>
            <li sec:authentication="principal.accountNonExpired"></li>
            <li sec:authentication="principal.accountNonLocked"></li>
            <li sec:authentication="principal.credentialsNonExpired"></li>
        </ul>

        <br>
        <h1> 获取用户权限信息,通过标签</h1>
        <!--如果没认证-->
        <div sec:authorize="!isAuthenticated()">显示没认证的内容</div>
        <!--如果认证了-->
        <div sec:authorize="isAuthenticated()">显示认证的内容</div>

        通过权限判断:
        <button sec:authorize="hasAuthority('/insert')">新增</button>
        <button sec:authorize="hasAuthority('/delete')">删除</button>
        <button sec:authorize="hasAuthority('/update')">修改</button>
        <button sec:authorize="hasAuthority('/select')">查看</button>
        <br/>
        通过角色判断:
        <button sec:authorize="hasRole('admin')">新增</button>
        <button sec:authorize="hasRole('admin')">删除</button>
        <button sec:authorize="hasRole('admin')">修改</button>
        <button sec:authorize="hasRole('admin')">查看</button>

    </div>

4.3 测试后效果

我们给当前用户配置了一个 admin的角色,没有配置任何权限,最终效果,页面权限一个都没有显示出来,后面配置了角色 admin 的 对应的四个button按钮就出来了,也就是达到了我们的效果;

五、如果我开启了一个子线程,是否还可以获取到认证信息呢

在实际后端开发中,有可能在主方法中开启了一个新的线程去获取其他信息,但是新线程里面也去获取了这个 SecurityContextHolder.getContext(); 那么肯定是获取不到的,因为我们看到SecurityContextHolder 的源码得知,默认的策略模式是  threadlocal 模式

5.1 代码测试

 @RequestMapping("index.page")
    public String index() {
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication authentication = context.getAuthentication();
        System.out.println("我是主线程的用户信息:"+authentication);
        new Thread(() -> {
            SecurityContext context1 = SecurityContextHolder.getContext();
            System.out.println("我是子线程的信息:"+context1.getAuthentication());
        }).start();


        return "userinf";
}

5.2 日志打印结果

 我们可以看到子线程里面获取到的是一个空,那么有没有办法在子线程里面也获取到呢,其实是有的,可以手动将这个认证的对象传到子线程里面去,或者通过 

在开启子线程的时候通过 SecurityContextHolder.getContext().setAuthentication() 但是这种方式太不优雅了,其实我们看看源码,是可以更改策略就能实现的;                  

5.3 SecurityContextHolder 源码

我们看到有四个策略

MODE_THREADLOCAL  基于 threadLocal 实现,默认就是这个策略

MODE_INHERITABLETHREADLOCAL  基于inheritablethreadlocal 实现,他是将主线程值拷贝到子线程一份,jdk 自带

MODE_GLOBAL   全局的一个静态变量,很少用

MODE_PRE_INITIALIZED   用的少

5.4 自定义策略,使用子线程也可以获取到认证信息

我们看到 String SYSTEM_PROPERTY = "spring.security.strategy"; 是一个系统变量参数,那么我们可以在启动时候加上参数

 -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 再来测试

最终我们看到在子线程中也能获取到认证后的信息了

星空寻流年
关注
专栏目录
SpringSecurity实现获取当前登陆用户原理
jy00733505的博客
08-02 1049
SpringSecurity实现获取当前登陆用户原理 目前项目未直接使用springSecurity,关于用户登陆授权都是原始开发。用户请求通过拦截器解析之后将用户id 设置到请求的header,因此在服务想要获取当前登陆用户必须要通过controller获取request之后获取header。 非常的不方便。回忆起之前使用过springSecurity可以在任何地方获取到当前请求登陆用户,因此好奇其实现原理。 jar包版本 spring-boot-starter-security 2.2.1.RE
SpringBoot项目+SpringSecurity+前端静态资源
08-23
在本项目,"SpringBoot项目+SpringSecurity+前端静态资源"是一个综合性的开发实践,主要涉及了Spring Boot和Spring Security这两个核心的Java框架,以及前端的静态资源管理。Spring Boot简化了Java应用的初始化和...
详解Spring Security获取当前登录用户的详细信息的几种方法
qq_65142821的博客
01-30 1207
下面就来详细讲解一下Spring Security获取当前登录用户的详细信息的几种方法。
spring security 获取用户信息
热门推荐
neweastsun的专栏
02-19 3万+
spring security 获取用户信息 本文描述在spring security如何获取用户信息。分别介绍几种常用的方法实现。 通过Bean获取用户 获取当前认证用户(authenticated principal)最简单的方式是通过SecurityContextHolder类的静态方法: Authentication authentication = SecurityCo...
SpringSpring Security 获取当前用户
最新发布
qq_16153555的博客
08-18 158
【代码】【SpringSpring Security 获取当前用户。
Spring Security如何基于Authentication获取用户信息
08-19
主要介绍了Spring Security如何基于Authentication获取用户信息,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security获取用户信息
weixin_58276266的博客
07-26 1629
回话状态分析与实践 HTTP超文本传输协议,并且是一个没有状态的协议,服务器不会通过协议获取状态,那么在服务器存储一个回话(session)机制,是专门用来识别哪个客户端发起的请求; 具体的原理 : 就是在客户端登录成功之后,服务器会创建一个回话,存储用户登录信息,然后服务器在创建一个cookie,但是会存储到客户端,然后在根据请求(携带cookie)进行交互; 流程图 问题: 1)用户登录成功以后信息存储到了哪里 答:当点击登录的时候底层会将登录信息存储到session里面,session是在服务器端存
Spring Security 从入门到精通之获取认证用户信息(四)
GalenGao
09-05 3066
当用户认证通过后,SpringSecurity会将当前用户信息保存起来,以供后续业务流程使用,下面将简单介绍两种获取认证用户的信息。这里我们学习了如何在Spring Security获取认证成功的用户信息,下一章我们将继续深入学习Spring Security的整个认证流程,敬请期待。
spring-security-web-5.5.2-API文档-文版.zip
06-04
赠送Maven依赖信息文件:spring-security-web-5.5.2.pom; 包含翻译后的API文档:spring-security-web-5.5.2-javadoc-API文档-文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-web:...
spring security 3.1获取所有已登录用户的终极方案
04-22
NULL 博文链接:https://bewithme.iteye.com/blog/1943435
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
在本文,我们将使用SpringBoot+SpringSecurity来处理Ajax登录请求问题。 知识点2:Ajax登录请求问题 在前后端分离的开发模式前端使用Vue来处理数据请求,而后台使用Spring Boot来处理数据交互。由于Ajax...
spring-security-web-4.2.8.RELEASE-API文档-英对照版.zip
04-07
对应Maven信息:groupId:org.springframework.security,artifactId:spring-security-web,version:4.2.8.RELEASE 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化...
spring-security-web-5.6.1-API文档-英对照版.zip
05-03
赠送Maven依赖信息文件:spring-security-web-5.6.1.pom; 包含翻译后的API文档:spring-security-web-5.6.1-javadoc-API文档-文(简体)-英语-对照版.zip; Maven坐标:org.springframework.security:spring-...
Spring Security--获取登录成功的用户信息
a2285786446的博客
06-13 1533
在用户登录成功后,自动将用户信息存入到SecurityContextHolder。3.下一个请求来的时候,还是会经过SecurityContextPersistenceFilter 过滤器,,此时系统还是会从Httpsession 读取出登录成功的用户信息,并将之存入SecurityContextHolder 。2.在登录请求处理完毕后,响应数据给前端时,也会经过SecurityContextPersistenceFilter 过滤器,此时,会将用户信息存入Httpsession
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2450
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
spring-security获取用户信息
wdcuww的博客
01-10 351
spring-security获取用户信息
Spring Security获取用户信息
qq_42315935的博客
01-26 336
自定义user注解 @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface LoginTblUser { /** * 是否查询User对象所有信息,true则通过rpc接口查询 */ // boolean isFull() default false; } 实现方法参数解析接口 HandlerMethodArgumentResol.
spring boot security如何配置跨域 前端8080 后端8088
05-24
Spring Boot配置跨域,可以通过在SecurityConfig配置CorsFilter来实现。 首先,在pom.xml文件添加以下依赖: ```xml <!-- Spring Boot Security --> <groupId>org.springframework.boot</groupId> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空寻流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值