SpringSecurity如何设置和修改登录态

最新推荐文章于 2024-07-21 10:42:02 发布
最新推荐文章于 2024-07-21 10:42:02 发布
阅读量1.4k 收藏 2
点赞数 3
分类专栏: SpringSecurity 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129905756
版权

登录态存储形式

使用Spring Security框架,用户认证成功后的用户信息会放在Authentication 对象的Principal中。Authentication 对象又会放入SecurityContext ,而SecurityContext 存在这2个地方:

  1. SecurityContextHolderStrategy :线程级别的SecurityContext持有策略。有全局共享、线程继承、线程隔离等几种获取上下文的方式。
  2. SecurityContextRepository:持久化SecurityContext ,默认存入HttpServletRequestHttpSession

在代码中,我们要获取用户登录信息,可以通过SecurityContextHolder.*getContext*().getAuthentication() 的方式获取,这种方式是从SecurityContextHolderStrategy获取用户数据。而SecurityContextHolderStrategy初始化数据又是来自SecurityContextRepository,相关逻辑是在SecurityContextHolderFilter 类里。

设想一种场景,在用户登录后,编辑了用户信息,这时要同步刷新SecurityContext里的用户信息。我们要如何更新这两个处的用户数据呢?

更新SecurityContextHolderStrategy 中的用户信息

要更新SecurityContextHolderStrategy非常简单,因为它保存在内存里,只要通过SecurityContextHolder.*getContext*().getAuthentication() 获取认证信息后,直接设置对应的属性,内存中属性值发生变化,后续处理逻辑就能读到最新值。

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
MyUser myUser = (MyUser) authentication.getPrincipal();
myUser.setNickname("新的昵称");

更新SecurityContextRepository中的用户信息

无法直接获取SecurityContextRepository对象

要知道怎么更新SecurityContextRepository ,我们先看其他地方是怎么调用它。往SecurityContextRepository 写数据是在用户认证成功之后,调用AbstractAuthenticationProcessingFilter#successfulAuthentication() 方式执行认证成功的后续逻辑时。

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authResult) throws IOException, ServletException {
		SecurityContext context = this.securityContextHolderStrategy.createEmptyContext();
		context.setAuthentication(authResult);
		this.securityContextHolderStrategy.setContext(context);

		// 这里写入securityContextRepository
		this.securityContextRepository.saveContext(context, request, response);

		...
	}

这里的this.securityContextRepository是通过setter方法传进来的,并且发现Spring Security没有把SecurityContextRepository 注册到Spring容器,而且Spring Security其他持有SecurityContextRepository 对象的类都没有暴露SecurityContextRepository 的获取方法。也就是说,我们无法从Spring Security拿到默认的SecurityContextRepository 对象。

手动设置SecurityContextRepository对象

为了顺利拿到SecurityContextRepository对象,我们可以手动往Spring容器注册一个SecurityContextRepository对象,然后把它塞到Spring Security里。通过这种方式,我们能从Spring容器拿到SecurityContextRepository 对象,然后随时刷新SecurityContext

Spring Security设置SecurityContextRepository 的方式是:

@Bean
public SecurityContextRepository securityContextRepository() {
    return new DelegatingSecurityContextRepository(
            new RequestAttributeSecurityContextRepository(), new HttpSessionSecurityContextRepository());
}

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity, SecurityContextRepository securityContextRepository) throws Exception {
	httpSecurity
        .securityContext(it -> it.securityContextRepository(securityContextRepository))
	return httpSecurity.build();
}

这里DelegatingSecurityContextRepository是Spring Security的默认值,我们原封不动保留下来。

更新登录态

在更新完SecurityContextHolderStrategy 对象之后,我们把SecurityContext 重新保存到SecurityContextRepository

// 更新SecurityContextHolderStrategy
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
MyUser myUser = (MyUser) authentication.getPrincipal();
myUser.setNickname("新的昵称");

// 更新SecurityContextRepository
securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);

总结

通过更新SecurityContextHolderStrategySecurityContextRepository ,我们就能完整更新SecurityContext 中的用户信息。如果项目中引入了Spring Session,Spring Session维护的登录态也会同步更新。

李昂的数字之旅
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(6)—— 显式设置修改登录信息
gmHappy
11-26 1万+
显式设置修改登录,使用SecurityContextRepository的具体方法
SecuritySecurity配置
sh1307212321的博客
11-21 268
Security
SpringSecurity中更改登录验证
qq_58137891的博客
05-09 241
1、需要重新定义一个@PostMapper请求处理前端发出的验证信息,使用@RequestBody获取前端的username与password。这计划专门定义一个LoginService接口实现该内容。2、配置文件,在@Configration中配置组件。将/login设置为允许匿名访问。
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1472
了解SpringSecurity,并进行简单使用与配置
spring aop action中验证用户登录状态的实例代码
08-29
本篇文章主要介绍了spring aop action中验证用户登录状态的实例代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
循序渐进学习spring security 第二篇,如何修改默认用户?
huangxuanheng的专栏
07-24 858
目录 回顾上一篇 如何配置用户 新建项目 测试 代码中配置用户 回顾上一篇{#previous} 在上一篇《[面试不要在说不熟悉spring security了,一个demo让你使劲忽悠面试官] (https://blog.csdn.net/huangxuanheng/article/details/119062001)》 中我们对spring security 有了一个初步的感受,接下来,我们来一起分析的用户配置 上一篇项目启动时,会自动的打印默认用户的密码出来,这个密码是临时的密码,而用户也是默认的
Spring Security - 06 修改默认的用户名和密码
qq_29761395的博客
02-05 2964
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 05 原生的退出登录 从 Web > 4. Spring Security 文中可知,默认的用户名是 user
Spring Security 04 自定义认证
weixin_46058921的博客
04-22 1514
发起认证请求,请求中携带⽤户名、密码,该请求会被 UsernamePasswordAuthenticationFilter 拦截在 UsernamePasswordAuthenticationFilter 的 attemptAuthentication ⽅法中将请求中⽤户名和密码,封装为Authentication 对象,并交给 AuthenticationManager 进⾏认证。
基 于 Spring Boot 生 , 权 限 , 工 作 流 的 开 发 平 台
05-05
Spring Boot + Security + MyBatis Plus 快速开发平台;用户管理:用户是系统操作者,该功能主要完成系统用户配置。权限管理:配置系统菜单,操作权限,按钮权限, 数据权限标识等。角色管理:角色菜单权限分配、设置...
spring webflow
10-22
5. **恢复/保存点(Savepoints)**:Spring Webflow支持在流程中设置恢复点,这样即使在流程中间出现异常,也能恢复到之前的状态,提供了一种错误处理和回退机制。 6. **集成Spring MVC**:Spring Webflow与Spring ...
Java-SpringBoot-使用多给项目解耦.doc
07-09
为了解决这个问题,作者借鉴了SpringSecurity中密码编码器的策略,提出了利用Java的多性来设计一个统一的接口。在SpringSecurity中,我们可以通过定义`PasswordEncoder`的bean,选择不同的实现类(如`...
基于SpringBoot+Vue+计算机视觉的餐厅自助结算系统源码+数据库(毕业设计).zip
07-05
后端采用SpringBoot+SpringSecurity+MyBatis,数据库为MySQL,Redis作为MyBatis的二级缓存。 图像识别部分使用OpenCV的DNN模块调用Darknet框架所训练出的YOLOv3模型来实现。 运行方式,直接运行即可。数据库连接及...
学生成绩管理分析系统毕业设计java.zip
09-30
最后,系统可能会有权限管理和安全措施,如使用Spring Security或Apache Shiro实现用户认证和授权,防止未授权访问或修改成绩数据。日志记录(如Log4j或SLF4J)也是必不可少的,它可以帮助开发者追踪和诊断运行时的...
使用Spring Security实现用户登录以及权限控制,那么在每次请求的时候都会创建一个SecurityContextHolder对象存储用户信息吗...
weixin_35756624的博客
01-09 427
是的,在使用 Spring Security 时,每次请求都会创建一个 SecurityContextHolder 对象来存储用户信息。SecurityContextHolder 是一个全局的单例对象,它的作用是存储当前用户的认证信息,并且在整个应用的生命周期内都可以访问到这些信息。它使用了持有者模式来存储用户信息,因此可以在任何地方访问到当前用户的认证信息。 ...
Spring Security 如何维持单点状态
weixin_42555971的博客
11-05 677
session
SpringSecurity 笔记
爱折腾的技术人
10-25 2101
SpringSecurity 笔记...
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2381
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
Security配置
samgreat911的博客
12-02 617
/ 启用CorsFilter(Spring Security内置的处理跨域的过滤器).permitAll() // 直接许可,即可不需要通过认证即可访问。.anyRequest() // 除了以上配置过的以外的其它所有请求。// 要求是“已经通过认证的”.mvcMatchers(urls) // 匹配某些路径。// 将JWT过滤器添加到Spring Security框架的过滤器链中。http.authorizeRequests() // 管理请求授权。// 将防止伪造跨域攻击的机制禁用。
SpringBoot实现登录登出,登录管理
热门推荐
Naland's Blog
07-09 1万+
账户模块中必要的功能登录登出,相信这个大家都经常使用了。简单介绍下在SpringBoot中的实现 先说下实现思路: 用户名密码存储在数据库中,前端发出请求,拦截器先检测用户有无登录,若有登录可直接请求接口。无需登录就可请求的接口需要加@NoLogin自定义注解。若未登录,前端跳转到登录页面,调用登录接口,系统在后台验证用户名密码,验证通过将用户信息存储在redis中和线程上下文中。 一、设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值