Principal包含用户的基本身份信息抽象类

最新推荐文章于 2024-07-18 20:13:39 发布
最新推荐文章于 2024-07-18 20:13:39 发布
阅读量441 收藏 3
点赞数 13
文章标签: 开发语言 java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45822542/article/details/139801986
版权

在Spring Security中,Principal接口的一个常见实现是org.springframework.security.core.userdetails.User,包含用户的详细信息,包括用户名,密码,权限等,具体的应用中,Principal通常被用来获取当前登录用户的信息;

具体用途

  1. 身份验证:
    • 在身份验证过程中,Principal 表示已成功验证的实体。通过认证系统(如 LDAP、OAuth 等)验证实体的身份后,会创建一个 Principal 对象来表示该实体。
  2. 授权:
    • Principal 也用于授权过程,决定已验证的实体是否具有执行特定操作或访问特定资源的权限。例如,基于 Principal 的角色或属性,应用程序可以确定用户是否有权访问某个资源或执行某个操作。
  3. 审计和日志记录:
    • 通过 Principal 对象,可以跟踪和记录实体的活动。这对于审计、合规性和安全性分析非常重要。

举例 :

1.获取当前用户信息

在控制器方法中,通过Principal参数可以获取当前登录用户的基本信息:

@GetMapping("/user")`
public String getUser(Principal principal) {
    String username = principal.getName();
    return "Current user: " + username;
}

2.获取更加详细的用户信息:

如果需要获取更多的用户详细信息,可以将Principal转换为Authentication对象,并进一步获取用户详情:

@GetMapping("/userDetails")
public String getUserDetails(Authentication authentication) {
   UserDetails userDetails = (UserDetails) authentication.getPrincipal();
   String username = userDetails.getUsername();
   Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
   return "User: " + username + ", Authorities: " + authorities;
}

Principal`在安全上下文中的角色

在Spring Security中,PrincipalAuthentication密切相关。Authentication对象不仅包含Principal(代表用户信息),还包含用户的认证状态和权限信息。

以下是一些相关的概念:

  • SecurityContext: Spring Security使用**SecurityContext来保存当前认证用户的详细信息**。SecurityContext通过SecurityContextHolder进行管理。
  • Authentication: Authentication接口扩展了Principal接口,表示用户的认证信息。它包含用户的身份信息、认证状态、权限等。
  • UserDetails: UserDetails是Spring Security中用于封装用户详细信息的接口UserDetailsService接口用于根据用户名加载用户详细信息

示例:

假设有一个控制器方法需要显示当前用户的详细信息

@GetMapping("/currentUser")
public String getCurrentUser(Model model, Authentication authentication) {
   UserDetails userDetails = (UserDetails) authentication.getPrincipal();
   model.addAttribute("username", userDetails.getUsername());
   model.addAttribute("authorities", userDetails.getAuthorities());
   return "userProfile";
}

在这个例子中,通过将Authentication对象注入到控制器方法中,获取当前认证用户的详细信息,并将其添加到模型中以便在视图中使用。

总结:

Principal是一个通用接口,用于表示经过身份验证的用户。通过在控制器方法中注入PrincipalAuthentication对象,可以方便地获取当前登录用户的信息。在Spring Security中,Principal通常与UserDetailsAuthentication接口一起使用,提供更丰富的用户信息和安全功能。

hate z β 撇 s
关注
  • 13
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
usergrouppermissions:用户组权限源代码存储库
06-06
首先,我们关注的是C#中的`System.Security.Principal`命名空间,它包含了处理身份验证和授权的核心类,如`Identity`、`Principal`和`RolePrincipal`。在Umbraco中,用户用户组的信息通常会被存储在数据库中,并...
获取证书和证书信息以及检测证书是否有效demo-java
12-18
Java中,证书主要通过`java.security.cert.Certificate`类进行处理,它是一个抽象类,具体的实现包括`java.security.cert.X509Certificate`,用于处理X.509格式的证书。 1. **获取证书接口**: 在Java中,证书...
Spring Security登录用户数据获取(4)
weixin_43831002的博客
08-03 3168
登录成功之后,在后续的业务逻辑中,开发者可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。这里列出来的两种方式是主流的做法,开发者也可以使用一些非主流的方式获取登录成功后的用户信息,例如直接从HttpSession中获取用户登录数据,无论是哪种获取方式,都离不开一个重要的对象:Authentication。...
自定义 @CurrentUser 获取当前登录用户
Bruce_Json的博客
12-28 925
1、使用到的两个枚举 ElementType枚举: TYPE //接口、类、枚举 .FIELD//字段、枚举的常量 METHOD//方法 PARAMETER//方法参数 CONSTRUCTOR //构造函数 LOCAL_VARIABLE//局部变量 ANNOTATION_TYPE//注解 PACKAGE///包 RetentionPolicy枚举 SOURCE //注解在源码是有效,将被编译器丢弃 CLASS //注解在编译时有效,但在运行时没有保留。这也...
spring security 获取用户信息
热门推荐
neweastsun的专栏
02-19 3万+
spring security 获取用户信息 本文描述在spring security中如何获取用户信息。分别介绍几种常用的方法实现。 通过Bean获取用户 获取当前认证用户(authenticated principal)最简单的方式是通过SecurityContextHolder类的静态方法: Authentication authentication = SecurityCo...
principal java_如何从Java中的UserPrincipal获取角色?
weixin_33914777的博客
02-16 1389
我创建了一个实现HttpServletRequestWrapper的类(名为CustomRequestWrapper).在CustomRequestWrapper类中,我正在设置用户主体.现在在我的代码中,我想从用户主体中获取角色列表.我试图从tomcat-catalina jar中使用GenericPrincipal类但是我正在强制转换异常CustomRequestWrapper无法强制转换为G...
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 5711
Spring Security是Spring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
权限类组件程序.zip_java 权限_权限_权限 过滤 java
09-21
在这个组件中,可能包括了实现访问控制、身份验证、授权等功能的类和方法。 首先,我们需要理解Java权限的基础概念。在Java中,权限是通过安全策略来管理的,这些策略定义了哪些代码可以执行特定的操作。Java ...
Apache Shiro 使用手册(四) Realm 实现
09-15
1. **获取用户标识**:`PrincipalCollection`对象包含了当前用户的所有 principal(身份)。这里,我们通常只关心用户名。 2. **查询用户信息**:使用用户名从数据源中获取用户对象,以便进一步获取权限信息。 3. **...
java全局获取用户名,java - 使用Spring Security时,获取bean中当前用户名(即SecurityContext)信息的正确方法是什么?...
weixin_30474629的博客
03-11 564
java - 使用Spring Security时,获取bean中当前用户名(即SecurityContext)信息的正确方法是什么?我有一个使用Spring Security的Spring MVC Web应用程序。 我想知道当前登录用户用户名。 我正在使用下面给出的代码段。 这是接受的方式吗?我不喜欢在这个控制器中调用静态方法 - 这违背了Spring的全部目的,恕我直言。 有没有办法配置应...
spring security之获取当前用户信息
点滴记录
12-04 4113
1 通过 SecurityContextHolder 获取 在SecurityContextHolder内部存储了当前与应用程序交互的主体的详细信息。 Spring Security 使用Authentication对象来表示此信息。 通常不需要自己创建Authentication对象,但是由于经常需要查询Authentication对象是相当普遍的。 可以在应用程序中的任何位置使用以下代码块来...
java内部类的本质
qq_43593646的博客
07-12 852
可以定义一个类Pair,包括最大值和最小值,但Pair这个名字太普遍,而且它主要是类内部使用的,就可以定义为一个静态内部类。内部类访问了外部类的一个私有静态变量shared,而我们知道私有变量是不能被类外部访问的,Java的解决方法是:自动为Outer生成一个非私有访问方法access$0,它返回这个私有静态变量shared。外部类的一些方法的返回值可能是某个接口,为了返回这个接口,外部类方法可能使用内部类实现这个接口,这个内部类可以被设为private,对外完全隐藏。
JavaSE》---6.<基础语法(Java三大程序控制结构)>
m0_73456341的博客
07-14 810
本篇博客主要讲解Java基础语法中的三大结构,一种顺序结构、两大分支结构i(if-else、swich-case)、四大循环结构(while、do while、fot、foreach)
Spring Security 授权
persistence_PSH的博客
07-14 878
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 1003
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
接口防刷!利用redisson快速实现自定义限流注解
最新发布
架构师小吴的博客
07-18 814
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
python按揭贷款——定义抽象类
05-11
下面是一个示例,定义一个抽象类 `Mortgage`,其中包含一个抽象方法 `calculate_monthly_payment`: ```python from abc import ABC, abstractmethod class Mortgage(ABC): @abstractmethod def calculate_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值