springsecurity 在web中如何获取用户信息(后端/前端)

一、SecurityContextHolder 是什么

   SecurityContextHolder用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在Session中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后Spring Security 会将登录成功的用户信息份存到 SecuritvContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLoca来实现的,使用 ThreadLocal 创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder 中的数据拿出来保存到 Session 中,同时将 SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到 SecuritvContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将 SecuritySecurityContextHolder 中的数据清空。这一策略非常方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据。是一个安全的上下文对象,用于获取身份验证通过的用户信息;

二、SecurityContextHolder 是何时被创建的

 当我们经过表单UsernamePasswordAuthenticationFilter 过滤器后,会回调父类的AbstractAuthenticationProcessingFilter,父类的AbstractAuthenticationProcessingFilter 是一个过滤器,那么肯定有 filter doFilter 方法,进到里面后看到认证成功后,会调用successfulAuthentication 方法,最终看到SecurityContextHolder 被创建成功;


2.1 源码实现

2.2 官方文档说明


三、通过SecurityContextHolder 如何获取认证后的用户信息

通过源码得知,当我们登录成功后,通过SecurityContextHolder.create后放置进去的,那么我们也可以通过get 获取到

3.1 官方文档指导如何获取

3.2 代码获取实战

/***  获取用户信息* @return*/@RequestMapping("getUserInf.do")@ResponseBodypublic String getUserInf() {SecurityContext context = SecurityContextHolder.getContext();Authentication authentication = context.getAuthentication();System.out.println(authentication);try {String s = new ObjectMapper().writeValueAsString(authentication);return s;} catch (JsonProcessingException e) {e.printStackTrace();}return "err";
}

3.3 日志打印结果


四、web 前端获取认证后的信息通过(thymeleaf)

有时候我们想通过前端标签,判断用户有哪些权限或者角色,类似于shiro 标签那种,实际上springsecurity 也有

4.1 导入pom依赖

 <dependency>

        <groupId>org.thymeleaf.extras</groupId>

        <artifactId>thymeleaf-extras-springsecurity5</artifactId>

  </dependency>

4.2 html 标签加上命名空间

<html xmlns="http://www.w3.org/1999/xhtml"

xmlns:th="http://www.thymeleaf.org"

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extrasspringsecurity5">

<div class="container"><h1> 获取用户信息,通过标签</h1><!--获取认证用户名--><ul><li sec:authentication="principal.username"></li><li sec:authentication="principal.authorities"></li><li sec:authentication="principal.accountNonExpired"></li><li sec:authentication="principal.accountNonLocked"></li><li sec:authentication="principal.credentialsNonExpired"></li></ul><br><h1> 获取用户权限信息,通过标签</h1><!--如果没认证--><div sec:authorize="!isAuthenticated()">显示没认证的内容</div><!--如果认证了--><div sec:authorize="isAuthenticated()">显示认证的内容</div>通过权限判断:<button sec:authorize="hasAuthority('/insert')">新增</button><button sec:authorize="hasAuthority('/delete')">删除</button><button sec:authorize="hasAuthority('/update')">修改</button><button sec:authorize="hasAuthority('/select')">查看</button><br/>通过角色判断:<button sec:authorize="hasRole('admin')">新增</button><button sec:authorize="hasRole('admin')">删除</button><button sec:authorize="hasRole('admin')">修改</button><button sec:authorize="hasRole('admin')">查看</button></div>

4.3 测试后效果

我们给当前用户配置了一个 admin的角色,没有配置任何权限,最终效果,页面权限一个都没有显示出来,后面配置了角色 admin 的 对应的四个button按钮就出来了,也就是达到了我们的效果;


五、如果我开启了一个子线程,是否还可以获取到认证信息呢

在实际后端开发中,有可能在主方法中开启了一个新的线程去获取其他信息,但是新线程里面也去获取了这个 SecurityContextHolder.getContext(); 那么肯定是获取不到的,因为我们看到SecurityContextHolder 的源码得知,默认的策略模式是  threadlocal 模式

5.1 代码测试

 @RequestMapping("index.page")public String index() {SecurityContext context = SecurityContextHolder.getContext();Authentication authentication = context.getAuthentication();System.out.println("我是主线程的用户信息:"+authentication);new Thread(() -> {SecurityContext context1 = SecurityContextHolder.getContext();System.out.println("我是子线程的信息:"+context1.getAuthentication());}).start();return "userinf";
}

5.2 日志打印结果

 我们可以看到子线程里面获取到的是一个空,那么有没有办法在子线程里面也获取到呢,其实是有的,可以手动将这个认证的对象传到子线程里面去,或者通过 

在开启子线程的时候通过 SecurityContextHolder.getContext().setAuthentication() 但是这种方式太不优雅了,其实我们看看源码,是可以更改策略就能实现的;                  

5.3 SecurityContextHolder 源码

我们看到有四个策略

MODE_THREADLOCAL  基于 threadLocal 实现,默认就是这个策略

MODE_INHERITABLETHREADLOCAL  基于inheritablethreadlocal 实现,他是将主线程值拷贝到子线程一份,jdk 自带

MODE_GLOBAL   全局的一个静态变量,很少用

MODE_PRE_INITIALIZED   用的少

5.4 自定义策略,使用子线程也可以获取到认证信息

我们看到 String SYSTEM_PROPERTY = "spring.security.strategy"; 是一个系统变量参数,那么我们可以在启动时候加上参数

 -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 再来测试

最终我们看到在子线程中也能获取到认证后的信息了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/877839.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

4820道西医综合真题西医真题ACCESS\EXCEL数据库

本题库内容源自某出版物《西医综合真题考点还原与答案解析》&#xff0c;包含4千多道真题。这个数据库包含3个表&#xff0c;一个是分类表&#xff08;SECTION_BEAN&#xff09;&#xff0c;一个是题库主表&#xff08;QUESTION_INFO_BEAN&#xff09;&#xff0c;一个是选项表…

【网络】HTTP

在上一篇文章中&#xff0c;我们了解了 协议 的制定与使用流程&#xff0c;不过太过于简陋了&#xff0c;真正的 协议 会复杂得多&#xff0c;也强大得多&#xff0c;比如在网络中使用最为广泛的 HTTP/HTTPS 超文本传输协议 但凡是使用浏览器进行互联网冲浪&#xff0c;那必然…

【生物特征识别论文分享】基于深度学习的掌纹掌静脉识别

&#xff08;待更新&#xff09;基于深度学习的生物特征识别&#xff08;手掌静脉、手背静脉、手指静脉、掌纹、人脸等&#xff09;论文模型总结 。具体方法包括&#xff1a;基于特征表征、基于传统网络设计与优化、基于轻量级网络设计与优化、基于Transformer设计与优化、基于…

在ubuntu系统中对于msg文件编译后生成的头文件,在程序中include时是用<>还是““,哪个检索文件的效率更高

在 Ubuntu 系统中&#xff0c;对于 ROS 中的消息&#xff08;msg&#xff09;文件编译后生成的头文件&#xff0c;在程序中包含&#xff08;include&#xff09;时应使用 ""&#xff0c;而不是 <>。 通常&#xff0c;在 C/C 中&#xff0c;使用 <> 来包…

Leetcode 100.101.110.199 二叉树相同/对称/平衡 C++实现

Leetcode 100. 相同的树 问题&#xff1a;给你两棵二叉树的根节点 p 和 q &#xff0c;编写一个函数来检验这两棵树是否相同。 如果两个树在结构上相同&#xff0c;并且节点具有相同的值&#xff0c;则认为它们是相同的。 /*** Definition for a binary tree node.* struct T…

Python单例模式:深入解析与应用

在软件开发中&#xff0c;设计模式是解决问题和构建软件架构的模板和最佳实践。单例模式&#xff08;Singleton Pattern&#xff09;是设计模式中最简单也是最常用的一种。它确保一个类只有一个实例&#xff0c;并提供一个全局访问点来获取这个实例。这种模式在需要控制资源访问…

Error: Can not import paddle core while this file exists

背景 因为工作需要&#xff0c;原来的项目部署的电脑被征用&#xff0c;重新换了一个新电脑&#xff0c;重装了系统&#xff0c;今天在给一个使用ocr的项目进行环境配置的时候发现&#xff0c;无论安装哪个版本的paddlepaddle&#xff0c;总是可以安装成功&#xff0c;但是导入…

【模板方法】设计模式:构建可扩展软件的基石

本文主要介绍模板方法设计模式的定义、作用及使用场景 引言 在软件开发中&#xff0c;设计模式是解决常见问题的经过验证的解决方案。模板方法设计模式&#xff0c;作为行为型设计模式的一种&#xff0c;提供了一种在不牺牲灵活性的前提下定义算法框架的方法。 本文将深入探讨…

Vant 组件库在Vue3的使用

Vant 是一个轻量、可靠的移动端组件库&#xff0c;专为 Vue.js 框架设计&#xff0c;提供了丰富的组件来加速移动端应用的开发。以下是关于 Vant UI 组件库以及在 Vue 3 中的使用方法的介绍。 Vant 组件库介绍 Vant 组件库拥有以下特点&#xff1a; 轻量化&#xff1a;组件平…

第五题:最长回文子串(Longest Palindromic Substring)

题目描述&#xff1a; 给定一个字符串 s&#xff0c;找到 s 中最长的回文子串。 示例&#xff1a; 输入&#xff1a;s "babad" 输出&#xff1a;"bab" 或 "aba" 输入&#xff1a;s "cbbd" 输出&#xff1a;"bb" 要求…

开源接口自动化测试工具AutoMeter

AutoMeter是一款针对分布式服务和微服务API做功能和性能一体化的自动化测试平台。一站式提供项目管理&#xff0c;微服务&#xff0c;API接口&#xff0c;用例&#xff0c;环境管理&#xff0c;测试管理&#xff0c;前置条件&#xff0c;测试集合&#xff0c;变量管理&#xff…

【芯片设计- RTL 数字逻辑设计入门 9.4 -- Power Gating 在SoC 芯片电源完整性中的详细介绍】

文章目录 电源完整性简介电源完整性重要性电源完整性主要问题电源完整性问题优化什么是Power Gating?Power Gating的优势与挑战浪涌电流的产生与影响设计中的折中与优化电源完整性简介 电源完整性(Power Integrity, PI)是指在系统级设计中,确保电源分配网络(Power Distri…

kali安装

引言 Kali Linux 是一个基于 Debian 的 Linux 发行版&#xff0c;专门为渗透测试和安全审计而设计。它包含了大量的安全工具&#xff0c;如 Wireshark、Nmap、Metasploit 等&#xff0c;这些工具可以帮助安全专家和研究人员进行网络安全评估、漏洞检测和渗透测试。Kali Linux …

系统架构师(每日一练23)

每日一练 1.软件活动主要包括软件描述、()、软件有效性验证和()&#xff0c;()定义了软件功能及使用限制。答案与解析 问题1 A.软件模型 B.软件需求 C.软件分析 D.软件开发 问题2 A.软件分析 B.软件测试 C.软件演化 D.软件开发 问题3 A.软件分析 B.软件测试 C.软件描述 D.软…

进阶-5.锁

锁 1.概述2.全局锁3.表级锁3.1 介绍3.2 表锁3.3 元数据锁3.4意向锁 4.行级锁 1.概述 分类 按锁的粒度分类&#xff1a; 全局锁&#xff1a;锁住数据库中所有表表级锁&#xff1a;每次操作锁定整张表行级锁&#xff1a;每次操作锁定对应的行数据 2.全局锁 介绍 全局锁就是对…

第N11周:seq2seq翻译实战-Pytorch复现

任务&#xff1a; ●为解码器添加上注意力机制 一、前期准备工作 from __future__ import unicode_literals, print_function, division from io import open import unicodedata import string import re import randomimport torch import torch.nn as nn from torch impor…

Python中的变量:作用域与生命周期的秘密探索

引言 在编程的世界里&#xff0c;变量如同舞台上的演员&#xff0c;它们有着自己的“角色”——存储数据&#xff0c;也有着特定的“登场”和“退场”时刻&#xff0c;即作用域和生命周期。理解这些概念对于编写高效、可维护的代码至关重要。本文将带你一起探索Python中变量的…

一款好看的WordPress REST API 主题

介绍&#xff1a; 主题特色&#xff1a; 使用Nuxtjs WordPress Rest Api 实现前后端分离&#xff0c;可完成多端部署&#xff1b; 主题支持自动切换黑夜模式。 使用说明&#xff1a; service 目录为wordpress主题文件&#xff0c;需要拷贝到wordpress主题目录下&#xff0…

cmake install 区分Debug和Relase

需求&#xff1a; 在vs下界面运行install命令需要将生成的程序按relase和Debug安装到指定目录。 实现&#xff1a; 配置如下cmake set(CMAKE_INSTALL_PREFIX ${PUBLISH_DIR}) message(STATUS "PUBLISH_DIR dir:${PUBLISH_DIR}") install(TARGETS ${TARGET_NAME}…