springsecurity 在web中如何获取用户信息(后端/前端)

2024-08-24 11:12

本文主要是介绍springsecurity 在web中如何获取用户信息(后端/前端),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、SecurityContextHolder 是什么

   SecurityContextHolder用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在Session中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后Spring Security 会将登录成功的用户信息份存到 SecuritvContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLoca来实现的,使用 ThreadLocal 创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder 中的数据拿出来保存到 Session 中,同时将 SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到 SecuritvContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将 SecuritySecurityContextHolder 中的数据清空。这一策略非常方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据。是一个安全的上下文对象,用于获取身份验证通过的用户信息;

二、SecurityContextHolder 是何时被创建的

 当我们经过表单UsernamePasswordAuthenticationFilter 过滤器后,会回调父类的AbstractAuthenticationProcessingFilter,父类的AbstractAuthenticationProcessingFilter 是一个过滤器,那么肯定有 filter doFilter 方法,进到里面后看到认证成功后,会调用successfulAuthentication 方法,最终看到SecurityContextHolder 被创建成功;


2.1 源码实现

2.2 官方文档说明


三、通过SecurityContextHolder 如何获取认证后的用户信息

通过源码得知,当我们登录成功后,通过SecurityContextHolder.create后放置进去的,那么我们也可以通过get 获取到

3.1 官方文档指导如何获取

3.2 代码获取实战

/***  获取用户信息* @return*/@RequestMapping("getUserInf.do")@ResponseBodypublic String getUserInf() {SecurityContext context = SecurityContextHolder.getContext();Authentication authentication = context.getAuthentication();System.out.println(authentication);try {String s = new ObjectMapper().writeValueAsString(authentication);return s;} catch (JsonProcessingException e) {e.printStackTrace();}return "err";
}

3.3 日志打印结果


四、web 前端获取认证后的信息通过(thymeleaf)

有时候我们想通过前端标签,判断用户有哪些权限或者角色,类似于shiro 标签那种,实际上springsecurity 也有

4.1 导入pom依赖

 <dependency>

        <groupId>org.thymeleaf.extras</groupId>

        <artifactId>thymeleaf-extras-springsecurity5</artifactId>

  </dependency>

4.2 html 标签加上命名空间

<html xmlns="http://www.w3.org/1999/xhtml"

xmlns:th="http://www.thymeleaf.org"

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extrasspringsecurity5">

<div class="container"><h1> 获取用户信息,通过标签</h1><!--获取认证用户名--><ul><li sec:authentication="principal.username"></li><li sec:authentication="principal.authorities"></li><li sec:authentication="principal.accountNonExpired"></li><li sec:authentication="principal.accountNonLocked"></li><li sec:authentication="principal.credentialsNonExpired"></li></ul><br><h1> 获取用户权限信息,通过标签</h1><!--如果没认证--><div sec:authorize="!isAuthenticated()">显示没认证的内容</div><!--如果认证了--><div sec:authorize="isAuthenticated()">显示认证的内容</div>通过权限判断:<button sec:authorize="hasAuthority('/insert')">新增</button><button sec:authorize="hasAuthority('/delete')">删除</button><button sec:authorize="hasAuthority('/update')">修改</button><button sec:authorize="hasAuthority('/select')">查看</button><br/>通过角色判断:<button sec:authorize="hasRole('admin')">新增</button><button sec:authorize="hasRole('admin')">删除</button><button sec:authorize="hasRole('admin')">修改</button><button sec:authorize="hasRole('admin')">查看</button></div>

4.3 测试后效果

我们给当前用户配置了一个 admin的角色,没有配置任何权限,最终效果,页面权限一个都没有显示出来,后面配置了角色 admin 的 对应的四个button按钮就出来了,也就是达到了我们的效果;


五、如果我开启了一个子线程,是否还可以获取到认证信息呢

在实际后端开发中,有可能在主方法中开启了一个新的线程去获取其他信息,但是新线程里面也去获取了这个 SecurityContextHolder.getContext(); 那么肯定是获取不到的,因为我们看到SecurityContextHolder 的源码得知,默认的策略模式是  threadlocal 模式

5.1 代码测试

 @RequestMapping("index.page")public String index() {SecurityContext context = SecurityContextHolder.getContext();Authentication authentication = context.getAuthentication();System.out.println("我是主线程的用户信息:"+authentication);new Thread(() -> {SecurityContext context1 = SecurityContextHolder.getContext();System.out.println("我是子线程的信息:"+context1.getAuthentication());}).start();return "userinf";
}

5.2 日志打印结果

 我们可以看到子线程里面获取到的是一个空,那么有没有办法在子线程里面也获取到呢,其实是有的,可以手动将这个认证的对象传到子线程里面去,或者通过 

在开启子线程的时候通过 SecurityContextHolder.getContext().setAuthentication() 但是这种方式太不优雅了,其实我们看看源码,是可以更改策略就能实现的;                  

5.3 SecurityContextHolder 源码

我们看到有四个策略

MODE_THREADLOCAL  基于 threadLocal 实现,默认就是这个策略

MODE_INHERITABLETHREADLOCAL  基于inheritablethreadlocal 实现,他是将主线程值拷贝到子线程一份,jdk 自带

MODE_GLOBAL   全局的一个静态变量,很少用

MODE_PRE_INITIALIZED   用的少

5.4 自定义策略,使用子线程也可以获取到认证信息

我们看到 String SYSTEM_PROPERTY = "spring.security.strategy"; 是一个系统变量参数,那么我们可以在启动时候加上参数

 -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 再来测试

最终我们看到在子线程中也能获取到认证后的信息了

这篇关于springsecurity 在web中如何获取用户信息(后端/前端)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1102319

相关文章

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

Java对象转换的实现方式汇总

《Java对象转换的实现方式汇总》:本文主要介绍Java对象转换的多种实现方式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java对象转换的多种实现方式1. 手动映射(Manual Mapping)2. Builder模式3. 工具类辅助映

SpringBoot请求参数接收控制指南分享

《SpringBoot请求参数接收控制指南分享》:本文主要介绍SpringBoot请求参数接收控制指南,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring Boot 请求参数接收控制指南1. 概述2. 有注解时参数接收方式对比3. 无注解时接收参数默认位置

Go语言开发实现查询IP信息的MCP服务器

《Go语言开发实现查询IP信息的MCP服务器》随着MCP的快速普及和广泛应用,MCP服务器也层出不穷,本文将详细介绍如何在Go语言中使用go-mcp库来开发一个查询IP信息的MCP... 目录前言mcp-ip-geo 服务器目录结构说明查询 IP 信息功能实现工具实现工具管理查询单个 IP 信息工具的实现服

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

SpringBoot项目中报错The field screenShot exceeds its maximum permitted size of 1048576 bytes.的问题及解决

《SpringBoot项目中报错ThefieldscreenShotexceedsitsmaximumpermittedsizeof1048576bytes.的问题及解决》这篇文章... 目录项目场景问题描述原因分析解决方案总结项目场景javascript提示:项目相关背景:项目场景:基于Spring

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

《SpringBoot整合SSE的高级实践(Server-SentEvents)》SSE(Server-SentEvents)是一种基于HTTP协议的单向通信机制,允许服务器向浏览器持续发送实... 目录1、简述2、Spring Boot 中的SSE实现2.1 添加依赖2.2 实现后端接口2.3 配置超时时

Spring Boot读取配置文件的五种方式小结

《SpringBoot读取配置文件的五种方式小结》SpringBoot提供了灵活多样的方式来读取配置文件,这篇文章为大家介绍了5种常见的读取方式,文中的示例代码简洁易懂,大家可以根据自己的需要进... 目录1. 配置文件位置与加载顺序2. 读取配置文件的方式汇总方式一:使用 @Value 注解读取配置方式二

一文详解Java异常处理你都了解哪些知识

《一文详解Java异常处理你都了解哪些知识》:本文主要介绍Java异常处理的相关资料,包括异常的分类、捕获和处理异常的语法、常见的异常类型以及自定义异常的实现,文中通过代码介绍的非常详细,需要的朋... 目录前言一、什么是异常二、异常的分类2.1 受检异常2.2 非受检异常三、异常处理的语法3.1 try-