SecurityContextHolder, SecurityContext and Authentication Objects

最新推荐文章于 2024-04-22 18:16:39 发布
最新推荐文章于 2024-04-22 18:16:39 发布
阅读量1.7k 收藏
点赞数
分类专栏: Spring Spring Security指南 文章标签: security spring 线程 对象 spring security

SecurityContextHolder, SecurityContext and Authentication Objects

    最重要并且最根本的object是SecurityContextHolder,我们将当前应用security上下文的所有数据保存在里面,这些数据包括应用系统中使用的principle数据。SecurityContextHolder默认使用ThreadLocal局部变量保存这些数据,这意味着security上下文对于相同的正在执行的线程的方法是可用的,即使security上下文没有显式地将参数传递给这些方法,如果希望在当前principal请求处理完毕后要清理这些线程,这样使用ThreadLocal局部变量会是非常安全的。当然,Spring Security会自动的处理这些问题,所以你不需要有任何的担心。

    一些应用不一定适合使用ThreadLocal,因为它们可能会用特定的方式运行线程。举个例子,一个Swing客户端可能希望所有在JVM中的线程使用Security上下文。你可以配置SecurityContextHolder使得它在启动时以你希望的方式来保存上下文数据。对于一个独立的应用你可以使用SecurityContextHolder.MODE_GLOBAL策略。其他应用可能希望由安全线程与其衍生出来的线程具有统一的安全标示,则可以使用SecurityContextHolder.MODE_INHERITABLETHREADLOCAL策略。你可以通过两种方式改变默认的SecurityContextHolder.MODE_THREADLOCAL模式。第一种是设置一个系统属性,第二种方式是调用SecurityContextHolder的一个静态方法。大多数应用不需要修改这个默认的策略,如果需要修改,看看JavaDocs中的SecurityContextHolder获取更多信息。

Obtaining information about the current user

    在SecurityContextHolder中我们保存了当前与应用交互的principal数据,Spring Security使用一个Authentication对象来保存和展示这些数据。你不需要自己手工创建一个Authentication对象,而且查询这个对象也相当的简单,你可以使用下面的代码(在你的应用的任意位置)获取当前认证用户的姓名信息:
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
 String username = ((UserDetails)principal).getUsername();
} else {
 String username = principal.toString();
}
    getContext()方法返回的对象是SecurityContext接口的实例,这就是保存在ThreadLocal局部变量中的对象。

参考资料来自《 Spring Security Reference Documentation(3.1)》,下载地址: http://download.csdn.net/detail/u010009900/9169039

Stainky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 1925
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
SpringSecurity 笔记
爱折腾的技术人
10-25 1957
SpringSecurity 笔记...
Spring Security(学习笔记)-SecurityContextHolder!
最新发布
TONGZHOUGONGDU的博客
04-22 1042
匿名访问,多线程获取用户信息。
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3767
loadUserByUsername携带多个参数
SecurityContextHolder多线程无法获取登录信息的原因
杨海吉
08-23 6040
Spring Security 中,我就想从子线程获取用户登录信息,怎么办? 大家知道在 Spring Security 中想要获取登录用户信息,不能在子线程中获取,只能在当前线程中获取,其中一个重要的原因就是 SecurityContextHolder 默认将用户信息保存在 ThreadLocal 中。 但是实际上 SecurityContextHolder 一共定义了三种存储策略: public class SecurityContextHolder { public static final S
SpringSecuritySecurityContextAuthentication对象
★【World Of Moshow 郑锴】★
07-17 5120
下面开始讨论几个 Spring Security 里面的核心对象。 org.springframework.security.core.context.SecurityContext接口表示的是当前应用的安全上下文。通过此接口可以获取和设置当前的认证对象。 org.springframework.security.core.Authentication接口用来表示此认证对象。通过认证对象的方法可...
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1404
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
jwt-authentication
03-06
具体步骤包括配置SecurityContextHolder、定义TokenProvider、编写AuthenticationEntryPoint和JwtAuthenticationFilter等组件。 在项目`jwt-authentication-master`中,我们可以预期找到以下关键组件和配置: 1. ...
spring-boot-jwt-authentication登录
02-13
如果令牌有效,过滤器会将用户对象放入SecurityContextHolder,使得后续的控制器方法可以直接访问用户信息。 4. **权限控制**: 使用Spring Security的`@Secured`或`@PreAuthorize`注解,我们可以控制哪些资源需要...
spring_security_jwt
02-23
4. **认证和授权**:当JWT验证成功后,我们可以创建一个`Authentication`对象并将其放入Spring Security的`SecurityContextHolder`中。这样,后续的Spring Security组件就可以使用这个认证信息进行授权。 5. **处理...
Token-based-authentication:使用JWT实现的基于令牌的身份验证(Java Web令牌)
05-20
SecurityContextHolder.getContext().setAuthentication(new JwtAuthentication(claims)); chain.doFilter(request, response); } else { // 验证失败或令牌不存在,处理未授权的情况 } } private boolean ...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头中的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder中,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
如果令牌有效,拦截器会将用户信息放入SecurityContextHolder,使得Spring Security可以在后续的处理链中访问这些信息。 "BCryptPasswordEncoder"是Spring Security提供的一种密码编码工具,它使用bcrypt算法对用户...
Spring Security
疯狂的1024
04-28 943
Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContextHolder的工作原理 缺省工作模式 MODE_THREADLOCAL 我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么SecurityCont...
hystrix使用时如果使用了SpringSecurity需要配置一下
whxwkb的博客
09-02 273
在项目中如果使用了springSecurity安全认证,在使用中如果调用远程接口,那么需要主启动类中配置: SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL); 将SecurityContextHolder 设置为可继承的属性。 因为hystrix会拦截所有的feign远程调用,并重启个线程去调用。因此这时的认证信息 SecurityContextHolder中会取不到。 ..
解决SpringSecurity上下文自动设置
吴国凯的博客
04-21 1700
问题: 我们用用异步线程的时候不能把SpringSecurity当前用户信息context带到子线程。 为了方便,我们需要进行信息透传 解决方法 需要加个参数 -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 或者增加代码块 static { System.setProperty(SYSTEM_PROPERTY, MODE_INHERITABLETHREADLOCAL); } .
spring security手动 自定义 用户认证 SecurityContextHolder
热门推荐
lemonzone2010的专栏
05-23 2万+
manually set an authenticated user in Spring Securityspring security手动 自定义 用户认证 SecurityContextHolder //存放authenticationSecurityContextHolder SecurityContextHolder.getContext().setAuthentication(authentication); HttpSession session = request.getSession
SpringSpringSecurity无法获取当前登录用户问题
niuchenliang524的博客
08-03 1万+
问题描述:项目的权限是用SpringSecurity实现的,项目中有个需求,实现需求的逻辑如下: 启动SpringBoot后启动一个线程去监听redis消息队列,对数据进行加工并保存到库里,需要保存创建人(createBy),而创建人正是当前登录用户,但一直获取不到当前登录用户。 解释如下: 我们将当前应用security上下文的所有数据保存在SecurityContextHolder里面,...
Spring源码分析【8】-分布式环境SpringSecurity保持用户会话
编程的本质是数学问题
10-14 4760
1.SpringSecurity的权限控制流程是这样的: 用户登录,基础信息UserInfo存在SpringSecurity的ThreadLocal里。 下面是contextHolder对象: final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrat
SecurityContextHolder.getContext().getAuthentication()去值为null
奥翔在海洋中~~
01-14 6764
需要用Java代码在SpringSecurity中取到用户名称,在Action或其他地方(filer中)用方法SecurityContextHolder.getContext().getAuthentication()取值为null,但是在页面使用<security:authentication property="principal" var="loggedUser"/>还是可以取到的很少疑
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
02-19
SecurityContextHolder.getContext().setAuthentication(authenticationToken)是Spring Security框架中用于设置当前用户认证信息的方法。 在Spring Security中,认证信息被封装在Authentication对象中,该对象包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值