SpringSecurity登录用户数据获取
登录用户数据获取
1、SecurityContextHolder
Spring Security 会将登录用户数据保存在Session 中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后,Spring Security 会将登录成功的用户信息保存到SecurityContextHolder中。
SecurityContextHolder中的数据保存默认是通过ThreadLocal来实现的,使用ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder中的数据拿出来保存到Session中,同时将SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security就会先从 Session中取出用户登录数据,保存到SecurityContextHolder中,方便在该请求的后续处理过程中使用,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session 中,然后将Security SecurityContextHolder中的数据清空。
实际上SecurityContextHolder中存储是SecurityContext,在 SecurityContext中存储是Authentication。
这也叫做经典策略模式
- MODE THREADLOCAL:这种存放策略是将SecurityContext存放在ThreadLocal中,大家知道Threadlocal的特点是在哪个线程中存储就要在哪个线程中读取,这其实非常适合web应用,因为在默认情况下,一个请求无论经过多少Filter到达Servlet,都是由一个线程来处理的。这也是SecurityContextHolder 的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
- MODE INHERITABLETHREADLOCAL︰这种存储模式适用于多线程环境,如果希望在子线程中也能够获取到登录用户数据,那么可以使用这种存储模式。
- 3MODE GLOBAL︰这种存储模式实际上是将数据保存在一个静态变量中,在JavaWeb开发中,这种模式很少使用到。
2、SecurityContextHolderStrategy
通过SecurityContextHolder可以得知,SecurityContextHolderStrategy接口用来定义存储策略方法
public interface SecurityContextHolderStrategy {
void clearContext();
SecurityContext getContext();
void setContext(SecurityContext context);
SecurityContext createEmptyContext();
}
接口中一共定义了四个方法:
- clearContext :用来清除存储的SecurityContext对象
- getContext:用来获取存储的SecurrityContext对象
- setContext:用来设置存储的SecurityContext对象
- createEmptyContext:用来创建一个空的SecurityContext对象
//1.获取认证信息
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
User user = (User) authentication.getPrincipal();
System.out.println("身份信息" + user.getUsername());
System.out.println("权限信息" + authentication.getAuthorities());
控制台输出结果:
身份信息root
权限信息[ROLE_admin, ROLE_super]
如果在实际开发中需要使用多线程进行获取认证信息,那么我们就要更改security的默认策略
设置完之后就可以在多线程的情况下,在子线程中将父线程的认证信息copy一份,我们就可以在子线程中获取到父线程的认证信息。
3852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
