SpringSecurity系列——用户认证后的数据获取,跨域解决方案day7-2(源于官网5.7.2版本)

最新推荐文章于 2023-01-13 09:37:06 发布
最新推荐文章于 2023-01-13 09:37:06 发布
阅读量439 收藏 2
点赞数
分类专栏: 笔记 # SpringSecurity Java学习 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51553982/article/details/126034180
版权
笔记 同时被 3 个专栏收录
334 篇文章 42 订阅
订阅专栏
Java学习
181 篇文章 3 订阅
订阅专栏
SpringSecurity
24 篇文章 31 订阅
订阅专栏

SpringSecurity系列——用户认证后的数据获取,跨域解决方案day7-2(源于官网5.7.2版本)

用户认证后的数据获取

关于SecurityContextHolder

在前面的认证架构中我们可以知道:
SecurityContextHolder用来获取登录之后用户信息。Spring Security会将登录用户数据保存在Session中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后,Spring Security 会将登录成功的用户信息保存到 SecurityContextHolder中。SecurityContextHolder中的数据保存默认是通过ThreadLocal来实现的,使用ThreadLocal 创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder中的数据拿出来保存到Session中,同时将SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security就会先从 Session中取出用户登录数据,保存到SecurityContextHolder中,方便在该请求的后续处理过程中使用,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将Security
SecurityContextHolder中的数据清空。这一策略非常方便用户在Controller、Service层以及任何代码中获取当前登录用户数据。
在这里插入图片描述

实例

由此我们得知获取用户信息可以先使用SecurityContextHolder获取到Authentication再获取下面的三个具体的用户信息,凭证信息,权限信息

 public String test1() throws JsonProcessingException {
        //获取SecurityContext
        SecurityContext context = SecurityContextHolder.getContext();
        //获取Authentication
        Authentication authentication = context.getAuthentication();
        //获取principal
        Object principal = authentication.getPrincipal();
        ObjectMapper objectMapper = new ObjectMapper();
        String s = objectMapper.writeValueAsString(principal);
        //获取authorities
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        //获取credentials
        Object credentials = authentication.getCredentials();
        String s1 = objectMapper.writeValueAsString(credentials);
        System.out.println(context);
        System.out.println(authentication);
        System.out.println(s);
        authorities.forEach(System.out::println);
        System.out.println(s1);

        return s;
    }

SecurityContext:

SecurityContextImpl [Authentication=UsernamePasswordAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=user1, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_user]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=127.0.0.1, SessionId=8DF5D4862E9A12C22CD5413A6F5CEEDD], Granted Authorities=[ROLE_user]]]

Authentication

UsernamePasswordAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=user1, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_user]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=127.0.0.1, SessionId=8DF5D4862E9A12C22CD5413A6F5CEEDD], Granted Authorities=[ROLE_user]]

principal

{“password”:null,“username”:“user1”,“authorities”:[{“authority”:“ROLE_user”}],“accountNonExpired”:true,“accountNonLocked”:true,“credentialsNonExpired”:true,“enabled”:true}

authorities

ROLE_user

credentials

null

获取具体用户信息

由上面的实例我们可以知道authentication.getPrincipal()可以获取用户的具体信息,具体获取里面的信息我们需要将其转换为User类,当然这个类是SpringSecurity内部提供的

Object principal = authentication.getPrincipal();
User user = (User) principal;
System.out.println(user.getUsername());
System.out.println(user.getAuthorities());
System.out.println(user.getPassword());
System.out.println(user.isEnabled());

如下,打印了用户名,权限,密码,是否被启用
当然密码是null不可见形式
在这里插入图片描述

注意点:默认子线程不可获取用户信息

默认情况下当我们开启一个子线程时,在我们的子线程中是无法获取用户信息的

 new Thread(()->{
            User principal1 = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
            System.out.println(principal1);
        }).start();

如下会报空指针
在这里插入图片描述

解决子线程获取问题(多线程情况下)

我们可以通过使用MODE_INHERITABLETHREADLOCAL实现子线程获取用户数据
但这个修改并不是在代码中的而是系统的,所以我们要通过修改虚拟机参数来实现
在这里插入图片描述
首先编辑配置
在这里插入图片描述
填入虚拟机选项

-Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL

在这里插入图片描述
此时子线程(多线程情况下)中就可以获取到用户的信息了

CORS跨域解决方案

什么是CORS

CORS (Cross-Origin Resource Sharing)是由W3C制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支特多种HTTTP请求方法,也是目前主流的跨域解决方案。
CORS 中新增了一组HTTP请求头字段,通过这些字段,服务器告诉浏览器,那些网站通过浏览器有权限访问哪些资源。同时规定,对那些可能修改服务器数据的HTTP请求方法(如GET以外的HTTP请求等),浏览器必须首先使用OPTIONS方法发起一个预检请求
(prenightst) ,预检请求的目的是查看服务端是否支持即将发起的跨域请求,如果服务端允许,才发送实际的HTTP请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(如Cookies、HTTP认证信息等)。

例如:
8080端口请求9000端口资源,就是跨域

如果服务端支持该跨域请求,那么返回的响应头中将包含如下字段:

Access-Contro1-Allow-Origin:http: // localhost: 8081

Access-Control-Allow-Origin字段用来告诉浏览器可以访问该资源的域,当浏览器收到这样的响应头信息之后,提取出Access-Control-Allow-Origin字段中的值,发现该值包含当前页面所在的域,就知道这个跨域是被允许的,因此就不再对前端的跨域请求进行限制。这属于简单请求,即不需要进行预检请求的跨域。

CORS处理

Spring Framework 为 CORS 提供一流的支持。 CORS 必须在 Spring Security 之前处理,因为 pre-flight 请求不会包含任何 cookie(即 JSESSIONID)。 如果请求不包含任何 cookie 并且 Spring Security 优先,则请求将确定用户未通过身份验证(因为请求中没有 cookie)并拒绝它。
确保首先处理 CORS 的最简单方法是使用 CorsFilter。 用户可以通过使用以下方式提供 CorsConfigurationSource 来将 CorsFilter 与 Spring Security 集成:

@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// by default uses a Bean by the name of corsConfigurationSource
			.cors(withDefaults())
			...
		return http.build();
	}

	@Bean
	CorsConfigurationSource corsConfigurationSource() {
		CorsConfiguration configuration = new CorsConfiguration();
		configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
		configuration.setAllowedMethods(Arrays.asList("GET","POST"));
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", configuration);
		return source;
	}
}

如果您使用 Spring MVC 的 CORS 支持,则可以省略指定 CorsConfigurationSource 并且 Spring Security 将利用提供给 Spring MVC 的 CORS 配置。

@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// if Spring MVC is on classpath and no CorsConfigurationSource is provided,
			// Spring Security will use CORS configuration provided to Spring MVC
			.cors(withDefaults())
			...
		return http.build();
	}
}

CORS实例

1.@CrossOrigin注解

Spring 中第一种处理跨域的方式是通过@CrossOrigin注解来标记支持跨域,该注解可以添加在方法上,也可以添加在Controller上。当添加在Controller上时,表示Controller中的所有接口都支持跨域,具体配置如下:

@GetMapping("/index")
@CrossOrigin(origins = "*")
public String indexTest(){
   return "index ...";
}

@CrossOrigin注解各属性含义如下:

  1. alowCredentials:浏览器是否应当发送凭证信息,如Cookie。
  2. allowedFeaders:请求被允许的请求头宇段,*表示所有宇段
  3. exposedHeaders:哪些响应头可以作为响应的一部分暴露出来。注意,这里只可以一一列举,通配符*在这里是无效的。
  4. maxAge:预检请求的有效期,有效期内不必再次发送预检请求,默认是1800秒。
  5. methods:允许的请求方法,*表示允许所有方法。
  6. origins:允许的域,*表示允许所有域。

2.SpringMVC跨域配置

@Configuration
public class WebMVCConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowedMethods("POST","GET")
                .allowCredentials(true)
                .maxAge(3600);
    }
}

前端返回
在这里插入图片描述

3.SpringSecurity跨域处理

首先了解一点,SpringSecurity中要是使用以上的跨域处理则会失效
使用SpringSecurity的跨域处理则需要在SpringSecurityConfig中进行

主要配置
//配置CORS策略
  @Bean
    public CorsConfigurationSource corsConfigurationSource(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedMethods(Arrays.asList("*"));
        corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowedOrigins(Arrays.asList("*"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }
    
    //添加策略
httpSecurity.cors()
            .configurationSource(corsConfigurationSource())
完整配置
package com.example.pwdencode.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

import java.util.Arrays;

@EnableMethodSecurity
@EnableWebSecurity
@Configuration
public class SpringSecurityConfig {

    @Bean
    public CorsConfigurationSource corsConfigurationSource(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedMethods(Arrays.asList("*"));
        corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowedOrigins(Arrays.asList("*"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public UserDetailsService userDetails(){
        UserDetails build = User.withUsername("user1").password("$2a$10$laiNvpYlylmnWMhiPjFFHuEfHeZJUY2MlosV1bba4rG.IiadN6Sry").roles("user").build();
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager(build);
        return inMemoryUserDetailsManager;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        return httpSecurity.csrf().disable()
                .authorizeHttpRequests(auth->auth.mvcMatchers("/index").permitAll())
                .formLogin(Customizer.withDefaults())
                .httpBasic(Customizer.withDefaults())
                .userDetailsService(userDetails())
                .cors()
                .configurationSource(corsConfigurationSource())
                .and()
                .build();
    }
}
简明编程
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security下解决问题
qq_30039127的博客
02-10 1362
前言:今天在写项目的时候碰到了问题,在网站找了各种解决办法,大部分都是添加@CrossOrigin注解或者添加配置类,但我花了整整一天还是没能解决问题。后来实在是不行,便想起了官网文档。结果还真的找到了解决办法!!!而且官方文档中还指明了原因!!看来以后遇到bug先要查查官网。 参考官方文档:https://docs.spring.io/spring-security/site/docs/5.4.2/reference/html5/#jc 问题描述 原因 Spring Framework pro.
Spring Security(七) ——配置
eyes++的博客
07-26 3804
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的资源共享技术标准,其目的就是为了解决前端的请求,该机制通过允许服务器标示除了它自己以外的其它origin(,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。...
SpringSecurity
Littewood的博客
07-24 5892
SpringSecurity解决
【SpringCloud】Spring Security解决问题、自定义校验方法
See_Star的博客
04-03 1860
SpringSecurity前后端解决问题、权限校验方法等
Spring Security怎么实现的?
BASK2311的博客
01-13 168
浏览器从一个名的网页去请求另一个名的资源时,名、端口、协议任一不同,都是 名:主名不同-->子名不同-->名和名ip-->端口:协议:备注:   1、端口和协议的不同,只能通过后台来解决2、localhost和127.0.0.1虽然都指向本机,但也属于
Nginx设置Access-Control-Allow-Origin无效的解决办法
09-30
今天小编就为大家分享一篇关于Nginx设置Access-Control-Allow-Origin无效的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
spring cloud gateway请求问题解决方案
08-25
Spring Cloud Gateway 请求问题解决方案 Spring Cloud Gateway 作为一种基于微服务架构的API Gateway,提供了许多有用的特性,如路由、负载均衡、熔断器等。但是,在使用 Spring Cloud Gateway 时,经常会遇到...
PHP Ajax问题解决方案代码实例
01-19
本文通过设置Access-Control-Allow-Origin来实现。 例如:客户端的名是client.runoob.com,而请求的名是server.runoob.com。 如果直接使用ajax访问,会有以下错误: XMLHttpRequest cannot load ...
详解vue-cli3 中解决方案
12-01
方案只能用于开发环境,线上最好设置同源策略(遇到个后端,装你妈批) 前后端不在同一服务器的情况下,前端要访问后端API,可通过在vue.config.js中配置代理服务器。 0:前提条件 1:安装vue-lic 2:安装axios ...
DRF后端解决之django-cors-headers的使用
09-19
主要介绍了DRF后端解决之django-cors-headers的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
11.Spring security问题
EdSheeran的博客
03-26 9423
文章目录*问题**11.1什么是CORS**11.2Spring处理方案**11.2.1`@CrossOrigin`**11.2.2`addCorsMappings`**11.2.3`CorsFilter`**11.3Spring Security处理方案**11.3.1特殊处理`OPTIONS`请求**11.3.2继续使用`CorsFilter`**11.3.3专业解决方案* 问题 11.1什么是CORS CORS(Cross-Origin Resource Sharing)是由W3C制定的一种
Spring Security 导致 Spring Boot 失效问题
Angus博客
01-09 2127
Spring Security,
前后端分离SpringSecurity问题解决方案(亲测可用)
Code_Guan的博客
12-06 1762
SpringBoot使用SpringSecurity问题,解决方案,亲测可用
解决springSecurity 的问题
qq_42059456的博客
08-08 661
解决springSecurity 的问题 WebSecurityConfig 配置类 开启cors http.cors().configurationSource(CorsConfigurationSource()); // 创建配置 private CorsConfigurationSource CorsConfigurationSource() { CorsConfigurationSource source = new UrlBasedCorsConfigurationSourc
Spring Security系列教程之解决Spring Security环境中的问题
xu_hui123的博客
12-08 5231
实现WebMvcConfigurer接口来解决问题 二. Spring Security环境下的问题解决 通过上面的配置,我们已经解决了Ajax的请求问题,但是这个案例中也有潜在的威胁存在,常见的就是 CSRF(Cross-site request forgery) 站请求伪造。站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法
学习Spring Boot:(二十八)Spring Security 权限认证
热门推荐
追光者的博客
05-07 1万+
前言 主要实现 Spring Security 的安全认证,结合 RESTful API 的风格,使用无状态的环境。 主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证,授权成功返回授权实例信息,供服务调用。 基于Token的身份验证的过程如下: 用户通过用户名和密码发送请求。 程序验证。 程序返回一个签名的token 给客户端。 ...
Spring Security问题解决
扛麻袋的少年的博客
05-05 2745
前文介绍了:Spring 处理问题的三种方案 现在来看看 Spring Security 的问题解决方案,共有三种方案。(摘自《深入浅出Spring Security》) 在实际项目使用中,推荐使用第三种方案!!!(11.3.3 专业解决方案) good luck ...
springsecurity 访问
fivestar2009的博客
02-23 372
这两天springsecurity访问,怎么也不行,控制不了 后来发现是使用的类不对 ,cors过滤记得要使用的是org.springframework.web.cors.CorsConfigurationSource,二不是org.springframework.web.cors.reactive.CorsConfigurationSource,使用了这个 2种实现方式 注意使用的类路径,不要使用错了 1)在WebSecurityConfigurerAdapter中实现 @Bean
Springboot Springsecurity 用户身份认证、登录拦截
yh_nick的博客
12-16 8474
springboot应用中可采用spring security实现 用户身份验证,登录拦截,鉴权和攻击防护 功能。
spring security解决请求
最新发布
06-04
Spring Security 提供了解决请求的方式,其中比较常用的是 CORS(资源共享)机制。CORS 机制通过在服务器端设置响应头来允许访问,具体步骤如下: 1. 在 Spring Security 的配置中添加 cors() 方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值