springSecurity系列之 SecurityContextHolder与SecurityContext

最新推荐文章于 2024-04-22 18:16:39 发布
最新推荐文章于 2024-04-22 18:16:39 发布
阅读量1.4k 收藏 5
点赞数 3
文章标签: java jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39802680/article/details/115265296
版权

SecurityContextHolder

SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。

官网介绍英文官网
主要方法在这里插入图片描述

SecurityContextHolder.getContext()

获取安全上下文SecurityContext。

安全上下文 SecurityContext

SecurityContext 可以理解成一个 存储 Authentication 的容器。Authentication 是一个用户凭证接口用来作为用户认证的凭证使用,通常常用的实现有 认证用户 UsernamePasswordAuthenticationToken 和 匿名用户AnonymousAuthenticationToken。其中 UsernamePasswordAuthenticationToken 包含了 UserDetails , AnonymousAuthenticationToken 只包含了一个字符串 anonymousUser 作为匿名用户的标识。
比如我们接受前端发起来的请求,我们在自己定义spring security 过滤器链中对每个请求进行处理。
获取用户信息和对应权限并将其封装成UsernamePasswordAuthenticationToken

   private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        // 前端将token放在header里,每次发送请求的时候携带。
        String token = request.getHeader("token");
        if (token != null && !"".equals(token.trim())) {
            String userName = tokenManager.getUserFromToken(token);
            // 获取用户名,在redis中得到相应的权限
            List<String> permissionValueList = (List<String>) redisTemplate.opsForValue().get(userName);
            Collection<GrantedAuthority> authorities = new ArrayList<>();
            for(String permissionValue : permissionValueList) {
                if(StringUtils.isEmpty(permissionValue)) continue;
                // 将每一个权限值放到SimpleGrantedAuthority
                SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);
                // 用于授权
                authorities.add(authority);
            }

            if (!StringUtils.isEmpty(userName)) {

                return new UsernamePasswordAuthenticationToken(userName, token, authorities);
            }
            return null;
        }
        return null;
    }

将UsernamePasswordAuthenticationToken 放入SecurityContext 中

  @Override
    protected void doFilterInternal(HttpServletRequest req, HttpServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        logger.info("================="+req.getRequestURI());
        //不是admin
        if(req.getRequestURI().indexOf("admin") == -1) {
            chain.doFilter(req, res);
            return;
        }

        UsernamePasswordAuthenticationToken authentication = null;
        try {
            //获取到封装好的数据
            authentication = getAuthentication(req);
        } catch (Exception e) {
            ResponseUtil.out(res, Result.error());
        }

        if (authentication != null) {
            //
            SecurityContextHolder.getContext().setAuthentication(authentication);
        } else {
            ResponseUtil.out(res, Result.error());
        }
        chain.doFilter(req, res);
    }

重点来了我们可以在接口中通过 SecurityContextHolder 获取相应的数据

    @GetMapping("info")
    public Result info(){
        //获取当前登录用户用户名
        String username = SecurityContextHolder.getContext().getAuthentication().getName();
        Map<String, Object> userInfo = indexService.getUserInfo(username);
        return Result.sucess().data(userInfo);
    }
bosh_rong
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SecurityContextHolder详解
小汤圆
08-10 4418
SecurityContextHolder
[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
qq_41662584的博客
09-15 177
【代码】[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
Spring Security(学习笔记)-SecurityContextHolder
最新发布
TONGZHOUGONGDU的博客
04-22 949
匿名访问,多线程获取用户信息。
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2259
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
SpringSecurity 笔记
爱折腾的技术人
10-25 1922
SpringSecurity 笔记...
权限校验—接口检验
一起加油吧~
08-08 2601
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。
若依 数据权限图文详细理解及改造
喜欢吃糖丶的博客
12-02 1万+
若依的数据权限也是基于**角色**实现的,支持五种权限模式,按权限大小一次排列: - 全部数据权限,表示拥有所有部门的数据权限 · - 自定数据权限,表示拥有指定的若干部门的数据权限 - 本部门数据权限,表示仅拥有用户所属部门(不包括子部门)的数据权限 - 本部门及以下数据权限,表示仅拥有用户所属部门和所有子部门的数据权限 - 仅本人数据权限,表示仅拥有用户本人的数据权限
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Security in Action
11-22
SecurityContext 是 Spring Security 中的一个重要概念,表示当前用户的安全上下文。SecurityContext 中包含用户的身份信息、权限信息等。SecurityContext 是通过 SecurityContextHolder 实现的。 五、Spring ...
如何使用Spring Security手动验证用户的方法示例
08-26
"Spring Security手动验证用户的方法示例" 在这篇文章中,我们将详细介绍如何使用Spring Security手动验证用户的方法示例,主要包括如何在Spring Security和Spring MVC中设置经过身份验证的用户。 概述 在Spring ...
Spring Security架构以及源码详析
08-27
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。它提供了一套完整的解决方案,确保应用程序的数据和用户访问控制得到妥善处理。在本文中,我们将深入探讨Spring Security的...
Spring Security常用过滤器实例解析
08-24
AnonymousAuthenticationFilter 负责创建一个匿名用户存入到 SecurityContextHolder 中, spring security 为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。 13. org.springframework.security...
SpringSecurity SecurityContextPersistenceFilter源码 和企业级Redis使用思想
qq_31142237的博客
09-14 468
之前几篇我们基本上讲述了SpringSecurity 登录认证和授权认证的实现和源码分析。我们大致清楚了 : SpringSecurity 登录认证原理。 如果自定义登录认证流程 授权验证的流程原理 今天我们分析下整个认证过程和企业级redis使用的思想,是为了解决什么问题,以及怎么解决的? 我们简单回顾下 SpringSecurity 流程。 用户登录: 输入用户名 / 密码 JwtLoginFilter (自定义的UsernamePasswordAuthenticationFilter)..
RuoYi若依源码分析1 - security
delete_you的博客
11-01 768
分析ruoyi源码,采取版本为springboot+vue前后端分离
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpingSecurity框架重要知识点(理解)
tigerhhzz的博客
05-10 438
一,SpingSecurity本质是一个过滤器链(11个过滤器) 1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到Se
浅谈 SpringSecurity使用方式——认证流程及原理(三)
小爽帅到拖网速的博客
09-11 1127
3、Spring Security认证原理 3.1、认证流程 Spring Security是如何完成身份认证的? 1、用户名和密码被UsernamePasswordAuthenticationFilter过滤器获取到,封装成 Authentication ,通常情况下是UsernamePasswordAuthenticationToken 这个实现类。 2、AuthenticationManager 身份管理器(委托给DaoAuthenticationProvider调用UserDeatilsServic
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 2972
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的...
SecurityContextHolderSecurityContext
也许是我送你哦
05-19 566
SecurityContextHolder.getContext().setAuthentication(authentication); 走源码,发现是ThreadLocal //当前线程 private static SecurityContextHolderStrategy strategy; public static SecurityContext getContext() { return strategy.getContext(); } ThreadLocalSecurityCon
核心组件之SecurityContextHolder
05-19
SecurityContextHolder是Spring Security中的一个核心组件,用于管理当前线程中的SecurityContextSecurityContext是一个包含了当前认证用户的安全信息的对象,比如用户的身份认证信息、权限信息等。 SecurityContextHolder提供了一系列静态方法,如getContext()、setContext()、createEmptyContext()等,用于获取、设置和创建SecurityContext。在一个请求过程中,SecurityContextHolder可以在不同的方法调用中传递SecurityContext,确保在整个请求过程中都可以访问到SecurityContext。 Spring Security提供了多种实现SecurityContext的方式,比如使用ThreadLocal实现的SecurityContextHolder。使用ThreadLocal可以确保每个线程都有自己的SecurityContext实例,避免线程安全问题。 总之,SecurityContextHolder是Spring Security中非常重要的一个组件,用于管理和传递SecurityContext,为Spring应用程序提供了强大的安全性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值