奇怪,Spring Security 登录成功后总是获取不到登录用户信息?

最新推荐文章于 2024-08-18 21:05:32 发布
最新推荐文章于 2024-08-18 21:05:32 发布
阅读量1.8w 收藏 62
点赞数 23
分类专栏: 关于Spring Boot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012702547/article/details/105237938
版权

有好几位小伙伴小伙伴曾向松哥求助过这个问题。

一开始我觉得这可能是一个小概率 BUG,但是当问的人多了,我觉得这个问题对于新手来说还有一定的普遍性,有必要来写篇文章跟大家仔细聊一聊这个问题,防止小伙伴们掉坑。

1.问题复现

如果使用了 Spring Security,当我们登录成功后,可以通过如下方式获取到当前登录用户信息:

  1. SecurityContextHolder.getContext().getAuthentication()
  2. 在 Controller 的方法中,加入 Authentication 参数

这两种办法,都可以获取到当前登录用户信息。具体的操作办法,大家可以看看松哥之前发布的教程:Spring Security 如何动态更新已登录用户信息?

正常情况下,我们通过如上两种方式的任意一种就可以获取到已经登录的用户信息。

异常情况,就是这两种方式中的任意一种,都返回 null。

都返回 null,意味着系统收到当前请求时并不知道你已经登录了(因为你没有在系统中留下任何有效信息),这会带来两个问题:

  1. 无法获取到当前登录用户信息。
  2. 当你发送任何请求,系统都会给你返回 401。

2.顺藤摸瓜

要弄明白这个问题,我们就得明白 Spring Security 中的用户信息到底是在哪里存的?

前面说了两种数据获取方式,但是这两种数据获取方式,获取到的数据又是从哪里来的?

首先松哥之前和大家聊过,SecurityContextHolder 中的数据,本质上是保存在 ThreadLocal 中,ThreadLocal 的特点是存在它里边的数据,哪个线程存的,哪个线程才能访问到。

这样就带来一个问题,当不同的请求进入到服务端之后,由不同的 thread 去处理,按理说后面的请求就可能无法获取到登录请求的线程存入的数据,例如登录请求在线程 A 中将登录用户信息存入 ThreadLocal,后面的请求来了,在线程 B 中处理,那此时就无法获取到用户的登录信息。

但实际上,正常情况下,我们每次都能够获取到登录用户信息,这又是怎么回事呢?

这我们就要引入 Spring Security 中的 SecurityContextPersistenceFilter 了。

小伙伴们都知道,无论是 Spring Security 还是 Shiro,它的一系列功能其实都是由过滤器来完成的,在 Spring Security 中,松哥前面跟大家聊了 UsernamePasswordAuthenticationFilter 过滤器,在这个过滤器之前,还有一个过滤器就是 SecurityContextPersistenceFilter,请求在到达 UsernamePasswordAuthenticationFilter 之前都会先经过 SecurityContextPersistenceFilter

我们来看下它的源码(部分):

public class SecurityContextPersistenceFilter extends GenericFilterBean {
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
				response);
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
		try {
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			chain.doFilter(holder.getRequest(), holder.getResponse());
		}
		finally {
			SecurityContext contextAfterChainExecution = SecurityContextHolder
					.getContext();
			SecurityContextHolder.clearContext();
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),
					holder.getResponse());
		}
	}
}

原本的方法很长,我这里列出来了比较关键的几个部分:

  1. SecurityContextPersistenceFilter 继承自 GenericFilterBean,而 GenericFilterBean 则是 Filter 的实现,所以 SecurityContextPersistenceFilter 作为一个过滤器,它里边最重要的方法就是 doFilter 了。
  2. 在 doFilter 方法中,它首先会从 repo 中读取一个 SecurityContext 出来,这里的 repo 实际上就是 HttpSessionSecurityContextRepository,读取 SecurityContext 的操作会进入到 readSecurityContextFromSession 方法中,在这里我们看到了读取的核心方法 Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);,这里的 springSecurityContextKey 对象的值就是 SPRING_SECURITY_CONTEXT,读取出来的对象最终会被转为一个 SecurityContext 对象。
  3. SecurityContext 是一个接口,它有一个唯一的实现类 SecurityContextImpl,这个实现类其实就是用户信息在 session 中保存的 value。
  4. 在拿到 SecurityContext 之后,通过 SecurityContextHolder.setContext 方法将这个 SecurityContext 设置到 ThreadLocal 中去,这样,在当前请求中,Spring Security 的后续操作,我们都可以直接从 SecurityContextHolder 中获取到用户信息了。
  5. 接下来,通过 chain.doFilter 让请求继续向下走(这个时候就会进入到 UsernamePasswordAuthenticationFilter 过滤器中了)。
  6. 在过滤器链走完之后,数据响应给前端之后,finally 中还有一步收尾操作,这一步很关键。这里从 SecurityContextHolder 中获取到 SecurityContext,获取到之后,会把 SecurityContextHolder 清空,然后调用 repo.saveContext 方法将获取到的 SecurityContext 存入 session 中。

至此,整个流程就很明了了。

每一个请求到达服务端的时候,首先从 session 中找出来 SecurityContext ,然后设置到 SecurityContextHolder 中去,方便后续使用,当这个请求离开的时候,SecurityContextHolder 会被清空,SecurityContext 会被放回 session 中,方便下一个请求来的时候获取。

搞明白这一点之后,再去解决 Spring Security 登录后无法获取到当前登录用户这个问题,就非常 easy 了。

3.问题解决

经过上面的分析之后,我们再来回顾一下为什么会发生登录之后无法获取到当前用户信息这样的事情?

最简单情况的就是你在一个新的线程中去执行 SecurityContextHolder.getContext().getAuthentication(),这肯定获取不到用户信息,无需多说。例如下面这样:

@GetMapping("/menu")
public List<Menu> getMenusByHrId() {
    new Thread(new Runnable() {
        @Override
        public void run() {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
            System.out.println(authentication);
        }
    }).start();
    return menuService.getMenusByHrId();
}

这种简单的问题相信大家都能够很容易排查到。

还有一种隐藏比较深的就是在 SecurityContextPersistenceFilter 的 doFilter 方法中没能从 session 中加载到用户信息,进而导致 SecurityContextHolder 里边空空如也。

在 SecurityContextPersistenceFilter 中没能加载到用户信息,原因可能就比较多了,例如:

  • 上一个请求临走的时候,没有将数据存储到 session 中去。
  • 当前请求自己没走过滤器链。

什么时候会发生这个问题呢?有的小伙伴可能在配置 SecurityConfig#configure(WebSecurity) 方法时,会忽略掉一个重要的点。

当我们想让 Spring Security 中的资源可以匿名访问时,我们有两种办法:

  1. 不走 Spring Security 过滤器链。
  2. 继续走 Spring Security 过滤器链,但是可以匿名访问。

这两种办法对应了两种不同的配置方式。其中第一种配置可能会影响到我们获取登录用户信息,第二种则不影响,所以这里我们来重点看看第一种。

不想走 Spring Security 过滤器链,我们一般可以通过如下方式配置:

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/css/**","/js/**","/index.html","/img/**","/fonts/**","/favicon.ico","/verifyCode");
}

正常这样配置是没有问题的。

如果你很不巧,把登录请求地址放进来了,那就 gg 了。虽然登录请求可以被所有人访问,但是不能放在这里(而应该通过允许匿名访问的方式来给请求放行)。如果放在这里,登录请求将不走 SecurityContextPersistenceFilter 过滤器,也就意味着不会将登录用户信息存入 session,进而导致后续请求无法获取到登录用户信息。

这也就是一开始小伙伴遇到的问题。

好了,小伙伴们如果在使用 Spring Security 时遇到类似问题,不妨按照本文提供的思路来解决一下。如果觉得有收获,记得点一下右下角在看哦

_江南一点雨
关注
专栏目录
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 记录用户登录时间功能实现 Spring Security 框架提供了强大的身份验证和授权功能,然而在实际应用中,我们还需要记录用户的登录时间,以便于日后进行登录记录的追踪和分析。在本文中,我们将详细...
SpringSecurity放行接口之后,接口里拿不到用户信息
Curtisjia的博客
07-30 1527
目录前言分析原因解决方法参考 前言 项目使用的是security安全框架,今天打开项目发现有个接口报npe很奇怪。于是看了下是SecurityContextHolder获取用户信息时候获取不到用户信息了。这个情况以前没有出现过,所以问了下我们项目组长,他说有没有可能是放行接口的原因。为此我专门研究了一下~ 分析原因 我们的放行方式是: @Override public void configure(WebSecurity web) throws Exception { web.ignoring().
SecurityContextHolder.getContext().getAuthentication()为null的问题
Maskkiss的博客
09-12 1万+
一、前言     项目背景是Spring boot+Spring secutiry+Thymeleaf。 二、问题原因     这个问题的原因的是你在用Spring Security加载权限的时候没有加载到,一般是手动调用重写的loadUserByUsername方法却没有赋予权限导致的。可以看我的另一篇博文有提到Spring boot+Spring security5+Thymeleaf集...
SpringSpring Security 获取当前用户
最新发布
qq_16153555的博客
08-18 148
【代码】【SpringSpring Security 获取当前用户。
servlet的优化
weixin_43521028的博客
10-10 404
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1605
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
Spring Sercurity获取不到当前用户信息值为Null
qq_39054053的博客
02-10 4020
今天使用Spring security获取当前用户信息时发现拿不到 Principal值为空并且报异常 前面我通过Spring Security的全局上下文设置 UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken= new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()); //加
使用spring oauth2框架获取当前登录用户信息的实现代码
08-18
在部分内容中,作者首先提到使用 Spring Oauth2 框架获取当前登录用户信息的实现代码,然后提到可以通过 `SecurityContextHolder.getContext().getAuthentication().getPrincipal()` 获取到当前用户的用户名。...
Spring Security实现多次登录失败后账户锁定功能
08-25
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
spring security获取用户信息的实现代码
08-25
"Spring Security获取用户信息的实现代码" Spring Security是一款功能强大且广泛使用的身份验证和授权框架,在大多数Web应用程序中都使用它来保护用户的身份验证和授权。今天,我们将讨论如何在Spring Security中...
SecurityUtils.getSubject().getPrincipal()为null
m0_37635053的博客
10-30 1万+
我在项目中获取getUserId(),和getUserName()获取不到值。 他们都是通过SecurityUtils.getSubject().getPrincipal()去获取的。 反复测试发现原因是 :在shiroConfig里面: 该方法,注意(是该接口名)被写为anon,不通过验证,即: filterMap.put("/druid/**", “anon”); 这种写法是为了postman...
shiro的SecurityUtils.getSubject().getPrincipal()获取当前登录用户信息为null
Mint6的博客
02-10 1万+
使用shiro的SecurityUtils.getSubject().getPrincipal()获取当前登录用户信息遇到的问题总结一下 1.获取不到返回null (1)设置配置AuthorizationAttributeSourceAdvisor在整个类的最前面,至少在shiroFilterFactoryBean的前面 /** * 开启Shiro的注解(如@Requir...
SecurityUtils.getUser()获取为空的场景
weixin_43930851的博客
11-09 1618
SecurityUtils.getUser() Authentication
SpringBoot+Vue+SpringSecurity登录拦截获取不到用户名,密码
wxx520zyt的博客
03-29 2457
一、问题描述 在springcurity自定义登录拦截的时候,获取不到用户名密码信息 1. 前台登录信息提交 handleLogin(){ var _this = this; var qs = require('querystring') this.axios({ url:'http://localhost:9000/user/login', method:'post', data:{
若依框架--后端获取当前登录用户的用户信息
热门推荐
HFY123456789的博客
07-02 2万+
若依框架--获取当前登录用户的用户信息
前后端分离 Vue+springBoot+springSecurity获取不到登录用户名和密码的问题
weixin_45705983的博客
09-19 5239
文章目录前言一、问题描述二、查找原因三、解决总结 前言 最近手上有个项目,采用前后端分离的模式开发,前端使用vue 后端采用springBoot+springSecurity。最近开发就遇到个十分简单,但是由困了我两天的问题。我本着不掉光头发誓不罢休的原则,开始了苦逼的找bug日常。 一、问题描述 springSecurity自定义的登录框,获取不到用户名和密码。 实际开发中我们不太可能使用springSecurity自带的登录界面,所以我们一般会使用自定义的登录界面。为了展示效果,我简单的写了一个极其
Token认证,如何快速方便获取用户信息
weixin_33849942的博客
05-19 2995
背景 我们有一个Web项目,这个项目提供了很多的Rest API。也做了权限控制,访问API的请求必须要带上事先认证后获取的Token才可以。 认证的话就在Filter中进行的,会获取请求的Token进行验证,如果成功了可以得到Token中的用户信息,本文的核心就是讲解如何将用户信息(用户ID)优雅的传递给API接口(Controller)。 方式一(很挫) 我们在Filter中进行了统一拦截,在...
帮我用springsecurity实现app登录以及获取用户当前登录信息
05-29
好的,以下是使用Spring Security实现APP登录获取用户当前登录信息的步骤: 1. 添加Spring Security依赖 在后端的pom.xml中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security 在后端的application.properties中添加以下配置: ``` # 禁用CSRF保护,以便移动端使用RESTful API spring.security.csrf.enabled=false # 配置用户信息,这里使用了内存存储 spring.security.user.name=admin spring.security.user.password=password spring.security.user.roles=USER ``` 3. 创建RESTful API接口 在后端创建一个登录接口,用于接收移动端传递的用户名和密码,并返回认证结果。以下是一个简单的示例: ``` @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) { // 在这里进行用户认证,返回认证结果 return ResponseEntity.ok(new LoginResponse("认证成功")); } public static class LoginRequest { private String username; private String password; // 省略getter和setter } public static class LoginResponse { private String message; // 省略getter和setter } } ``` 4. 创建一个RESTful API接口,用于获取当前登录用户信息 ``` @RestController public class UserController { @GetMapping("/user") public ResponseEntity<User> getCurrentUser(Authentication authentication) { User user = (User) authentication.getPrincipal(); return ResponseEntity.ok(user); } public static class User { private String username; private List<String> roles; // 省略getter和setter } } ``` 5. 在移动端实现登录获取用户信息功能 在移动端实现登录获取用户信息功能,具体实现方式根据移动端技术栈不同而有所区别。以下是一个简单的示例: ``` public class LoginActivity extends AppCompatActivity { private EditText usernameEditText; private EditText passwordEditText; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_login); usernameEditText = findViewById(R.id.usernameEditText); passwordEditText = findViewById(R.id.passwordEditText); Button loginButton = findViewById(R.id.loginButton); loginButton.setOnClickListener(new View.OnClickListener() { @Override public void onClick(View v) { String username = usernameEditText.getText().toString(); String password = passwordEditText.getText().toString(); LoginRequest loginRequest = new LoginRequest(username, password); loginUser(loginRequest); } }); } private void loginUser(LoginRequest loginRequest) { String url = "http://localhost:8080/login"; String requestBody = new Gson().toJson(loginRequest); MediaType JSON = MediaType.parse("application/json; charset=utf-8"); RequestBody body = RequestBody.create(JSON, requestBody); Request request = new Request.Builder() .url(url) .post(body) .build(); OkHttpClient client = new OkHttpClient(); client.newCall(request).enqueue(new Callback() { @Override public void onFailure(Call call, IOException e) { e.printStackTrace(); } @Override public void onResponse(Call call, Response response) throws IOException { String responseBody = response.body().string(); LoginResponse loginResponse = new Gson().fromJson(responseBody, LoginResponse.class); runOnUiThread(new Runnable() { @Override public void run() { Toast.makeText(LoginActivity.this, loginResponse.getMessage(), Toast.LENGTH_SHORT).show(); } }); } }); } public static class LoginRequest { private String username; private String password; // 省略getter和setter } public static class LoginResponse { private String message; // 省略getter和setter } } ``` 以上是一个简单的示例,实际情况中需要根据具体需求进行修改和完善。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值