SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到的是username而不是UserDetails

最新推荐文章于 2024-06-18 09:27:33 发布
最新推荐文章于 2024-06-18 09:27:33 发布
阅读量1.1w 收藏 4
点赞数 4
分类专栏: 学习记录 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408648/article/details/110190327
版权

1.问题引入

我在使用SpringSecurity+JWT做权限认证的时候, @PreAuthorize("@el.check(‘system:user:query’)")
使用上面这个注解判断用户是否有拥有方法级的操作权限,但是在使用下方这个方法获取当前登陆用户时只获取到了用户名,而不是UserDetails对象。
SecurityContextHolder.getContext().getAuthentication().getPrincipal()

2.解决思路

查看登陆成功后是否保存了 Authentication auth
虽然已删除打印,但是测试时是能打印auth的,其中包含UserDetails

    @Override
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        SecurityUser user = (SecurityUser) auth.getPrincipal();
        String token = tokenManager.createToken(user.getCurrentUserInfo().getAccount());

        SecurityContextHolder.getContext().setAuthentication(auth);

        redisUtil.set(user.getCurrentUserInfo().getAccount(),user, GlobalConstant.REDIS_SAVE_TIME);
        log.info(" 3.登录成功保存用户达到redis并返回token=="+token);
        ResponseUtil.out(res, ResultJson.ok().data(GlobalConstant.ACCESS_TOKEN, token));
    }

而下方代码中.getAuthentication().getPrincipal()获取到的是username,导致认证出现问题

    /**
     * 获取当前登录的用户
     * @return UserDetails
     */
    public static UserDetails getCurrentUser() {
        final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication == null) {
            throw new BizException(CommonEnum.STATUS_EXPIRED);
        }
        if (authentication.getPrincipal() instanceof UserDetails) {
            UserDetails userDetails = (UserDetails) authentication.getPrincipal();
            UserDetailsService userDetailsService = SpringContextHolder.getBean(UserDetailsService.class);
            return userDetailsService.loadUserByUsername(userDetails.getUsername());
        }
        throw new BizException(CommonEnum.NOT_FIND_LOGIN_INFORMATION);
    }

后来才发现登陆授权是没有出问题的,但是当请求拿着token来鉴权的时候却出错了。因为我自己写的token判定过滤器,所以我反复检查代码终于发现问题: user.getUsername()

                    logger.info("4.更具token访问授权==" + user.getAuthorities());
                    return new UsernamePasswordAuthenticationToken(user.getUsername(), null, user.getAuthorities());

改成
UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
就正确了

单筱风
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java holder详解,Spring框架中SecurityContextHolder类的使用详解(未完待续)
weixin_36332616的博客
03-13 994
Spring框架借助ThreadLocal来保存和传递用户登录信息。我们通常是使用下面这段代码,来获取保存在ThreadLocal中的用户信息。SecurityContextHolder.getContext().getAuthentication().getPrincipal();如果我们想获取用户的ID,可以这样:String userId =SecurityContextHolder.ge...
使用spring oauth2框架获取当前登录用户信息的实现代码
08-18
在部分内容中,作者首先提到使用 Spring Oauth2 框架获取当前登录用户信息的实现代码,然后提到可以通过 `SecurityContextHolder.getContext().getAuthentication().getPrincipal()` 获取到当前用户的用户名。...
servlet的优化
weixin_43521028的博客
10-10 400
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
SecurityContextHolder.getContext().getAuthentication()为null SpringSecurity无法获取登录用户问题
最新发布
weixin_41713225的博客
06-18 224
SpringBoot项目中使用SpringSecurity并且无法获取当前登录用户对象的问题
【Spring Boot】SecurityContextHolder.getContext().getAuthentication()为null的情况
小哲的博客
03-23 1万+
SecurityContextHolder.getContext().getAuthentication()为null的情况 问题描述 在登录的时候,用如下方法获取输入的用户名: /** * 获得当前用户名称 */ private String getUsername() { String username = SecurityContextHolder.getContext().ge...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security-获取当前登录用户的详细信息
xiaokanfuchen86的博客
09-23 2197
在Spring框架里面,可以通过以下几种方式获取到当前登录用户的详细信息: 1. 在Bean中获取用户信息 Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (!(authentication instanceof AnonymousAuthenticationToken)) { String currentUserName = authentication.ge
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 1966
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
spring oauth2获取当前登录用户信息.docx
07-10
Spring Security允许我们通过`SecurityContextHolder.getContext().getAuthentication().getPrincipal()`来获取详细的用户信息,但当你尝试在OAuth2环境中使用同样的方法时,你可能只会得到当前用户的用户名,而不是...
spring,获取IP精选.doc
10-11
4. **Spring Security**: 如果应用集成了 Spring Security,可以使用 `SecurityContextHolder.getContext().getAuthentication().getPrincipal()` 获取认证对象,然后根据具体实现(如 `UserDetails`)获取 IP 地址...
Spring Security如何基于Authentication获取用户信息
08-19
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); if (principal instanceof UserDetails) { UserDetails userDetails = (UserDetails) principal; return ...
Spring Security 中文教程.pdf
12-06
LDAP属性和自定义UserDetails 20. JSP标签库 20.1. 声明Taglib 20.2. authorize 标签 20.3. authentication 标签 20.4. accesscontrollist 标签 21. Java认证和授权服务(JAAS)供应器 21.1. 概述 ...
SpringSecurity 笔记
爱折腾的技术人
10-25 2007
SpringSecurity 笔记...
SecurityContextHolder.getContext().getAuthentication()为null 获取不到当前登录用户信息
weixin_58691039的博客
11-10 969
SecurityContextHolder.getContext().getAuthentication()为null 获取不到当前登录用户信息
Spring Security 中重要对象汇总
BASK2311的博客
11-30 1187
翻译为:抽象身份验证处理过滤器,这是一个抽象类,定义了认证处理的过程。是一个模板类。默认的实现为,根据用户名、密码进行身份验证,如果需要自定义身份验证,比如手机验证码登录,就需要继承该类。根据注释翻译了一下:为安全对象实现安全拦截的抽象类,干的事情说白点就是对未放行的资源,根据用户的权限来控制是否能访问的拦截器。由于这是一个抽象类,所以只定义了一些逻辑方法,具体执行都是子类去调用的。
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1470
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
关于 oauth2 jwt authentication.getPrincipal 获取的是用户名的问题
Firstmetcs的博客
05-06 4851
第一种方案重写转换类(DefaultUserAuthenticationConverter) public Map<String, ?> convertUserAuthentication(Authentication authentication) { Map<String, Object> map = new HashMap<>(1); //继承UserDetails的对象 Object o = authentication.
SecurityContextHolder.getContext().getAuthentication()为null的问题
Maskkiss的博客
09-12 1万+
一、前言     项目背景是Spring boot+Spring secutiry+Thymeleaf。 二、问题原因     这个问题的原因的是你在用Spring Security加载权限的时候没有加载到,一般是手动调用重写的loadUserByUsername方法却没有赋予权限导致的。可以看我的另一篇博文有提到Spring boot+Spring security5+Thymeleaf集...
CAS返回对象的更多属性Assertion.getPrincipal().getAttributes()
待定的专栏
05-17 5514
服务器,在返回给客户端用户信息时,默认只返回用户名(我们已经修改成ID).但有时我们需要更多的属性信息,如用户名。 则应做如下修改: 用户登录成功以后,CAS使用一个credentialsToPrincipalResolvers将credentials转成Principal对象,此对象只有一个实现类如下. SimplePrincipal的构造方法接收两个参数,一个是用户的id,一个为用户的其
springsecurity修改登录成功后SecurityContextHolder.getContext().getAuthentication()内用户信息
05-17
要修改登录成功后`SecurityContextHolder.getContext().getAuthentication()`内用户信息,可以使用`Authentication`接口的实现类`UsernamePasswordAuthenticationToken`,通过该类的构造函数,可以创建新的`Authentication`对象来代替原有的对象。 例如,假设原有的`Authentication`对象中包含一个名为`username`的属性,要将其值修改为新值,可以按照以下方式实现: ```java Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); if (principal instanceof UserDetails) { UserDetails userDetails = (UserDetails)principal; // 创建新的 Authentication 对象 Authentication newAuth = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); // 将新的 Authentication 对象设置到 SecurityContextHolder 中 SecurityContextHolder.getContext().setAuthentication(newAuth); } ``` 在上面的代码中,`UserDetails`是一个包含用户信息的接口,它的实现类通常是`User`。`newAuth`是创建的新的`Authentication`对象,它的第一个参数是`UserDetails`对象,第二个参数是凭证信息,这里设置为`null`,第三个参数是用户的权限信息。最后,将新的`Authentication`对象设置到`SecurityContextHolder`中即可完成修改。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值