拦截器中解析OAuth2身份认证,保存用户信息至SecurityContextHolder当前线程

最新推荐文章于 2024-05-19 15:38:09 发布
最新推荐文章于 2024-05-19 15:38:09 发布
阅读量3.8k 收藏 5
点赞数
分类专栏: spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42962779/article/details/104400620
版权

1.首先定义拦截器,在前置拦截获取认证信息,取出UserDetails中保存的username,通过mapper接口查询数据库用户信息对象,保存至SecurityContextHolderd 当前线程,以便后续随时在程序中获取用户信息

package com.youdu.wuhan2020.config;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import com.youdu.wuhan2020.entity.SysUser;
import com.youdu.wuhan2020.mapper.SysUserMapper;
import com.youdu.wuhan2020.utils.CollectionUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import java.util.Collection;
import java.util.List;

/**
 * 定义一个Interceptor 非常简单方式也有几种,我这里简单列举两种 1、类 要实现Spring 的HandlerInterceptor 接口 2、类
 * 继承实现了HandlerInterceptor 接口的类,例如 已经提供的实现了HandlerInterceptor
 * 接口的抽象类HandlerInterceptorAdapter
 *
 * @author 刘彦军 !!!除了定义此类,还需要将自定义的拦截器,注册到WebMvcConfigurer中,拦截器才起作用
 * 之前我们在xml中配置拦截路径等,springboot我们需要继承WebMvcConfigurerAdapter类
 * 不过springBoot2.0以上 WebMvcConfigurerAdapter 方法过时, 有两种替代方案:
 * 1、继承WebMvcConfigurationSupport 2、实现WebMvcConfigurer
 * 但是继承WebMvcConfigurationSupport会让Spring-boot对mvc的自动配置失效。根据项目情况选择。
 * 现在大多数项目是前后端分离,并没有对静态资源有自动配置的需求所以继承WebMvcConfigurationSupport也未尝不可。
 */
@Slf4j
@Component
public class TokenHandlerInterceptor implements HandlerInterceptor {
    //需要提前以@bean的方式注入拦截器,否则sysUserMapper为null;
    //原因是因为拦截器的加载在springcontext之前,所以自动注入的mapper是null
    @Autowired
    private SysUserMapper sysUserMapper;

    // 最终拦截
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
        //log.info("最终拦截--在整个请求结束之后被调用,也就是在DispatcherServlet 渲染了对应的视图之后执行,主要是用于进行资源清理工作");
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }

    // 后置拦截+统计总访问数
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) throws Exception {
        //log.info("后置拦截--请求处理之后进行调用,但是在视图被渲染之前,即Controller方法调用之后");
    }

    //
    // 前置拦截
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        //System.out.println("前置拦截在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制、权限校验等处理");
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication instanceof OAuth2Authentication) {
            OAuth2Authentication oAuth2Authentication = (OAuth2Authentication) authentication;
            Authentication userAuthentication = oAuth2Authentication.getUserAuthentication();
            //获取用户的account,这里就是UserDetails类 中返回的SecurityUser的name属性,这个name可以扩展
            String account = userAuthentication.getName();
            SysUser sysUser = new SysUser();
            sysUser.setAccount(account);
            List<SysUser> page = sysUserMapper.page(sysUser, null);
            SysUser sysUser1 = null;
            if (!CollectionUtils.isNullOrEmpty(page)) {
                sysUser1 = page.get(0);
            }
            //角色数组
            Collection<? extends GrantedAuthority> authorities = userAuthentication.getAuthorities();
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(sysUser1, null, authorities);
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        return true;
    }

}

2.将拦截器以@bean的方式进行注入spring容器,并且在springMVC中注册此拦截器

package com.youdu.wuhan2020.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 其实以前都是继承WebMvcConfigurerAdapter类 不过springBoot2.0以上 WebMvcConfigurerAdapter 方法过时
 * 从源码上可以看出,WebMvcConfigurerAdapter类对WebMvcConfigurer接口进行了实现,不过都是空实现。
 * ,java版本1.8 接口可以定义defult方法,那么WebMvcConfigurerAdapter这个适配类也就没有意义了,所以被抛弃
 * 有两种替代方案:
 * 1、继承WebMvcConfigurationSupport
 * 2、实现WebMvcConfigurer
 * 注意!!!
 * 但是继承WebMvcConfigurationSupport会让Spring-boot对mvc的自动配置失效。
 * 比如说默认静态资源路径的访问会失效,以及swagger的映射路径,等等(继承需要自己重新做静态资源路径的配置)
 * 根据项目情况选择。现在大多数项目是前后端分离,
 * 并没有对静态资源有自动配置的需求所以继承WebMvcConfigurationSupport也未尝不可。
 *
 * @author 刘彦军
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    // 继承WebMvcConfigurerAdapter类,注册拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 传入自定义的拦截器
        registry.addInterceptor(tokenHandlerInterceptor())
                // 拦截所有的请求
                .addPathPatterns("/**");
    }

    @Bean
    public TokenHandlerInterceptor tokenHandlerInterceptor() {
        return new TokenHandlerInterceptor();
    }

    //	@Override
    //	public void addResourceHandlers(ResourceHandlerRegistry registry) {
    //		registry.addResourceHandler(new String[]{"/lyj/**"})
    //		.addResourceLocations(new String[]{"classpath:/static/"});
    //		registry.addResourceHandler(new String[]{"swagger-ui.html"})
    //				.addResourceLocations(new String[]{"classpath:/META-INF/resources/"});
    //		registry.addResourceHandler(new String[]{"/webjars/**"})
    //				.addResourceLocations(new String[]{"classpath:/META-INF/resources/webjars/"});
    //	}

}

3.在程序中取出线程中保存的用户对象,存的时候是sysUser,所有取得时候可以直接转

 SysUser sysUser=(SysUser)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        return "用户name:" +sysUser.getAccount();
Sir_小三
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用spring oauth2框架获取当前登录用户信息的实现代码
08-18
在部分内容,作者首先提到使用 Spring Oauth2 框架获取当前登录用户信息的实现代码,然后提到可以通过 `SecurityContextHolder.getContext().getAuthentication().getPrincipal()` 获取到当前用户的用户名。...
SpringSecurity SecurityContext 生命周期
qq_51045856的博客
04-26 563
众所周知 SpringSecurity 将用户认证成功后的信息存放在 SecurityContext,通过SecurityContextHolder.getContext() 可以在任何地方获得SecurityContext从而获得用户信息SecurityContext 存在一个请求线程及 ThreadLocal ,当请求结束后线程关闭SecurityContext 随之消失及在下次请求无法获得上次请求的用户信息
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
security如何保存用户信息,如何获取用户信息(一)(含部分securityHolder源码分析)
最新发布
m0_64106946的博客
05-19 417
SecurityContextPersistenceFilter 先从HttpSession读取SecurityContext出来,存入SecurityContextHolder以备后续使用,当请求离开SecurityContextPersistenceFilter的时候,获取最新的SecurityContext并存入HttpSession,同时清空SecurityContextHolder的登录信息。但对于我们的前后端分离的情况,一般都用jwt,若开启session(默认),那么每次。
Spring Security(学习笔记)-SecurityContextHolder!
TONGZHOUGONGDU的博客
04-22 1000
匿名访问,多线程获取用户信息
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2270
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 980
以后每当有请求到来时,Spring Security 就会先从 Session 取出用户登录数据,保存SecurityContextHolder ,方便在该请求的后续处理过程使用,同时在请求结束时将 SecurityContextHolder 的数据拿出来保存到 Session ,然后将SecurityContextHolder 的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码,开启了子线程,在子线程去获取登录用户数据,就会获取不到。
Session和Token小结
mengxin_chen的博客
04-28 644
Session和Token小结 Token和SessionId的原理是相同的,Session和Token在功能上是相同的,都是为了保持会话。 session Session用于临时保存用户信息,以键值对的格式储存,要取出用户信息就需要相对应的钥匙key,这是用于让服务器知道这个请求来着谁,通过cookie存放sessionid,服务器获取请求的时候就会通过cookie(sessionid)拿到session里面存放的用户信息,这样可以让用户访问资源而不用不断的重新登录。session的生命周期是服务器启动到
spring oauth2获取当前登录用户信息.docx
07-10
而spring oauth2通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()却只能拿到当前用户的用户名。 然而实际开发过程,我们较常用到的大部分都是用户的id。 那么怎么通过配置获取当前用户...
根据OAuth2 0获取微信用户信息 C#|根据OAuth2 0获取微信用户信息 C#.zip
09-04
利用微信OAuth2.0获取微信用户信息源码 利用微信OAuth2.0获取微信用户信息源码 利用微信OAuth2.0获取微信用户信息源码 利用微信OAuth2.0获取微信用户信息源码
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得...
django-oauth2-sso:简单的OAuth2身份验证和SSO实体到本地Django用户模型的自动映射
05-10
Django Oauth2客户端和用户配置生成状态: PyPI:动机SSO设置起来可能是一件棘手的事情,特别是如果您的组织具有自定义的OAuth2 SSO提供程序,该提供程序以与Django哲学不兼容的方式返回有关用户的信息。 该插件允许...
在自媒体微服务使用过滤器解析header数据并设置到当前线程
djdjjdjdj的博客
08-23 276
在自媒体微服务使用过滤器解析header数据并设置到当前线程 过滤器 package com.heima.wemedia.filter; import com.heima.utils.WmThreadLocal; import org.springframework.core.annotation.Order; import org.springframework.web.filter.GenericFilterBean; import javax.servlet.FilterChain; impo
SpringMVC--拦截器使用原理
liulianglin的专栏
03-17 796
基于HandlerInterceptor接口实现拦截器
java 黑马头条 day3 实名认证分布式事务问题 seata
m0_73859807的博客
02-13 1488
(1)模块,在当前模块下创建子模块,添加依赖--OSS-->(2)创建包资料文件夹下导入service和config包下的内容:结构如下:(3)在resources目录下新建配置文件(4)添加OSS配置添加依赖配置心nacos添加共享配置#OSS配置file:oss:bucket-name: access-key-id: access-key-secret: web-site:
线程调用如何传递请求上下文?简述ThreadLocal和TaskDecorator
z69183787的专栏
10-31 1781
先看官方api文档说明意思就是说这是一个执行回调方法的装饰器,主要应用于传递上下文,或者提供任务的监控/统计信息。看上去正好可以应用于我们这种场景。
OAuth 2.0认证授权 流程 以及Spring Security OAuth 2.0
aaaak_的博客
05-12 671
访问oauth授权的URI以启动OAuth2流程:http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client 重定向到登录页面:http://localhost:8080/server/login 处理批准并重定向到我配置的重定向页面,其包含一个代码参数:http://localhost:8080/client?code=HMJO4K 使用基本身份验证使用客户端ID和密码以及授权类..
SpringMVC 拦截器实现身份验证
yaologos的博客
11-10 849
拦截器定义 拦截器可以对请求或响应进行过滤,设置规则将某些请求进行处理 比如身份验证,对用户的请求,验证其是否已经登录,如果没有则客户端重定向到登录页面 定义一个拦截器,需要继承拦截器接口 public interface HandlerInterceptor { /** 处理器调用之间执行,可以进行编码,安全控制以及权限校验等操作 */ default boolean preHand...
使用ThreadLocal保存当前线程用户信息
qq_28060549的博客
03-18 4821
1. 在JWTFilter(继承自BasicHttpAuthenticationFilter)的executeLogin方法做判断,如果登陆成功,则将用户信息存入UserUtil.set(user); 2. UserUtil类: public class UserUtil { private UserUtil(){ } private static final ThreadLo...
oauth2实现同步用户信息
09-28
要实现OAuth2的用户信息同步,需要在云程平台的服务配置与OAuth2一致的用户登录标识,并在配置文件设置相应的参数。 首先,需要在启动OAuth2服务时配置用户登录标识。这个标识可以是一个特定的字段,用于唯一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值