SpringSecurity SecurityContext 生命周期

已于 2023-04-26 17:38:53 修改
阅读量574 收藏 2
点赞数 1
文章标签: java servlet spring boot
于 2023-04-26 17:33:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51045856/article/details/130390175
版权

记一次关于 SpringSecurity SecurityContext生命周期的理解

众所周知 SpringSecurity 将用户认证成功后的信息存放在 SecurityContext中,通过SecurityContextHolder.getContext() 可以在任何地方获得SecurityContext从而获得用户信息,SecurityContext 存在一个请求线程中及 ThreadLocal ,当请求结束后线程关闭SecurityContext 随之消失及在下次请求中无法获得上次请求的用户信息

附源码:

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

	@Override
	public void clearContext() {
		contextHolder.remove();
	}

	@Override
	public SecurityContext getContext() {
		SecurityContext ctx = contextHolder.get();
		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}
		return ctx;
	}

	@Override
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}

	@Override
	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}

}

然而在最近的使用中发现,当第一次请求结束后,发起新的请求,仍然可以获得上次请求保存的用户信息。此时就有点疑惑。
于是猜想SecurityContext的存储是否和Session有关,经验证确实如此,请求结束后SecurityContext 会放入 Session ,当下次访问时 SecurityContext 又会被取出放入重新放入SecurityContextHolder中。

验证思路:请求会根据Cookie查询Session,于是在新的新请求中删除Cookie 发现之前请求的SecurityContext 就无法被获取到了。

查阅文档后,确实如此.

咕噜噜lu
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SecurityContextHolder解析
嘿!没错,我是李先生
02-19 3841
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户信息。 每个用户都有自己的SecurityContext,存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityContextHolder存储SecurityContext的方式: 1 单机系统:应用从开启到关闭的整个生命周期只有一个用户在使用。由于整个应用...
SecurityContextHolder
weixin_57128596的博客
09-14 2654
SecurityContextHolder是Spring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
使用Spring Security实现用户登录以及权限控制,那么在每次请求的时候都会创建一个SecurityContextHolder对象存储用户信息吗...
weixin_35756624的博客
01-09 421
是的,在使用 Spring Security 时,每次请求都会创建一个 SecurityContextHolder 对象来存储用户信息。SecurityContextHolder 是一个全局的单例对象,它的作用是存储当前用户的认证信息,并且在整个应用的生命周期内都可以访问到这些信息。它使用了持有者模式来存储用户信息,因此可以在任何地方访问到当前用户的认证信息。 ...
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
Spring Security Oauth2 token 续期
FunnyWhiteCat的博客
06-21 2255
Spring Security Oauth2 token 续期
SecurityContext
weixin_51992178的博客
10-28 1559
SecurityContext生命周期:请求到来时从Session中取出,放入SecurityContextHolder中,请求结束时从SecurityContextHolder取出,并放到Session中,实际上就是依靠Session来存储的,一旦会话过期验证信息也跟着消失。SecurityContextHolder的存储策略默认是`MODE_THREADLOCAL`,它是基于ThreadLocal实现的,`getContext()`方法本质上调用的是对应的存储策略实现的方法。
Spring Security in Action
11-22
SecurityContextSpring Security 中的一个重要概念,表示当前用户的安全上下文。SecurityContext 中包含用户的身份信息、权限信息等。SecurityContext 是通过 SecurityContextHolder 实现的。 五、Spring ...
SpringSecurity6
最新发布
02-01
SpringSecurity6是一个强大的安全框架,用于为Java应用提供安全服务,包括身份验证和授权。在本文中,我们将深入探讨如何使用SpringSecurity6实现用户登录认证,以及如何自定义用户名和密码登录认证,同时还会涉及...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Security如何在Servlet中执行
08-19
Spring Security 是一个强大的安全框架,专门用于处理Java应用的安全需求,包括认证和授权。在Servlet环境中,Spring Security通过集成到Servlet的过滤器链(Servlet Filter Chain)中来实现在Web应用中的安全控制。...
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
daTou
08-24 920
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity 笔记
爱折腾的技术人
10-25 2019
SpringSecurity 笔记...
SpringSecurity核心组件
RO_wsy的专栏
03-17 5754
SecurityContextHolder, SecurityContext和Authentication SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象SecurityContext
servlet的优化
weixin_43521028的博客
10-10 400
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
Spring Security-部分官方文档翻译以及思考-结构
渡鸦的博客
07-13 1355
Spring Security-部分官方文档翻译以及思考-结构
SecurityContextHolder.getContext().getAuthentication()返回null值
nameIsAhh的博客
06-21 1806
SecurityContextHolder维护上下文的本质是通过ThreadLocal,而定时任务不在同一线程里,因此拿不到。同理可知,controller层的uri若未被securityFilterChain()方法过滤器链维护,该uri下的方法里也拿不到用户信息。定时任务执行业务逻辑时,需要用户信息,通过SecurityContextHolder.getContext().getAuthentication()获取用户信息为null,从而报错。
Spring BootSecurityContextHolder.getContext().getAuthentication()为null的情况
小哲的博客
03-23 1万+
SecurityContextHolder.getContext().getAuthentication()为null的情况 问题描述 在登录的时候,用如下方法获取输入的用户名: /** * 获得当前用户名称 */ private String getUsername() { String username = SecurityContextHolder.getContext().ge...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值