springsecurity 在web中如何获取用户信息(后端/前端)
星空寻流年 2024-10-10 13:03:01 阅读 94
一、SecurityContextHolder 是什么
SecurityContextHolder用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在Session中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后Spring Security 会将登录成功的用户信息份存到 SecuritvContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLoca来实现的,使用 ThreadLocal 创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder 中的数据拿出来保存到 Session 中,同时将 SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到 SecuritvContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将 SecuritySecurityContextHolder 中的数据清空。这一策略非常方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据。是一个安全的上下文对象,用于获取身份验证通过的用户信息;
二、SecurityContextHolder 是何时被创建的
当我们经过表单UsernamePasswordAuthenticationFilter 过滤器后,会回调父类的AbstractAuthenticationProcessingFilter,父类的AbstractAuthenticationProcessingFilter 是一个过滤器,那么肯定有 filter doFilter 方法,进到里面后看到认证成功后,会调用successfulAuthentication 方法,最终看到SecurityContextHolder 被创建成功;
2.1 源码实现
2.2 官方文档说明
三、通过SecurityContextHolder 如何获取认证后的用户信息
通过源码得知,当我们登录成功后,通过SecurityContextHolder.create后放置进去的,那么我们也可以通过get 获取到
3.1 官方文档指导如何获取
3.2 代码获取实战
<code>/**
* 获取用户信息
* @return
*/
@RequestMapping("getUserInf.do")
@ResponseBody
public String getUserInf() {
SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
System.out.println(authentication);
try {
String s = new ObjectMapper().writeValueAsString(authentication);
return s;
} catch (JsonProcessingException e) {
e.printStackTrace();
}
return "err";
}
3.3 日志打印结果
四、web 前端获取认证后的信息通过(thymeleaf)
有时候我们想通过前端标签,判断用户有哪些权限或者角色,类似于shiro 标签那种,实际上springsecurity 也有
4.1 导入pom依赖
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
4.2 html 标签加上命名空间
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extrasspringsecurity5">
<code><div class="container">code>
<h1> 获取用户信息,通过标签</h1>
<!--获取认证用户名-->
<ul>
<li sec:authentication="principal.username"></li>code>
<li sec:authentication="principal.authorities"></li>code>
<li sec:authentication="principal.accountNonExpired"></li>code>
<li sec:authentication="principal.accountNonLocked"></li>code>
<li sec:authentication="principal.credentialsNonExpired"></li>code>
</ul>
<br>
<h1> 获取用户权限信息,通过标签</h1>
<!--如果没认证-->
<div sec:authorize="!isAuthenticated()">显示没认证的内容</div>code>
<!--如果认证了-->
<div sec:authorize="isAuthenticated()">显示认证的内容</div>code>
通过权限判断:
<button sec:authorize="hasAuthority('/insert')">新增</button>code>
<button sec:authorize="hasAuthority('/delete')">删除</button>code>
<button sec:authorize="hasAuthority('/update')">修改</button>code>
<button sec:authorize="hasAuthority('/select')">查看</button>code>
<br/>
通过角色判断:
<button sec:authorize="hasRole('admin')">新增</button>code>
<button sec:authorize="hasRole('admin')">删除</button>code>
<button sec:authorize="hasRole('admin')">修改</button>code>
<button sec:authorize="hasRole('admin')">查看</button>code>
</div>
4.3 测试后效果
我们给当前用户配置了一个 admin的角色,没有配置任何权限,最终效果,页面权限一个都没有显示出来,后面配置了角色 admin 的 对应的四个button按钮就出来了,也就是达到了我们的效果;
五、如果我开启了一个子线程,是否还可以获取到认证信息呢
在实际后端开发中,有可能在主方法中开启了一个新的线程去获取其他信息,但是新线程里面也去获取了这个 SecurityContextHolder.getContext(); 那么肯定是获取不到的,因为我们看到SecurityContextHolder 的源码得知,默认的策略模式是 threadlocal 模式
5.1 代码测试
<code> @RequestMapping("index.page")
public String index() {
SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
System.out.println("我是主线程的用户信息:"+authentication);
new Thread(() -> {
SecurityContext context1 = SecurityContextHolder.getContext();
System.out.println("我是子线程的信息:"+context1.getAuthentication());
}).start();
return "userinf";
}
5.2 日志打印结果
我们可以看到子线程里面获取到的是一个空,那么有没有办法在子线程里面也获取到呢,其实是有的,可以手动将这个认证的对象传到子线程里面去,或者通过
在开启子线程的时候通过 SecurityContextHolder.getContext().setAuthentication() 但是这种方式太不优雅了,其实我们看看源码,是可以更改策略就能实现的;
5.3 SecurityContextHolder 源码
我们看到有四个策略
MODE_THREADLOCAL 基于 threadLocal 实现,默认就是这个策略
MODE_INHERITABLETHREADLOCAL 基于inheritablethreadlocal 实现,他是将主线程值拷贝到子线程一份,jdk 自带
MODE_GLOBAL 全局的一个静态变量,很少用
MODE_PRE_INITIALIZED 用的少
5.4 自定义策略,使用子线程也可以获取到认证信息
我们看到 String SYSTEM_PROPERTY = "spring.security.strategy"; 是一个系统变量参数,那么我们可以在启动时候加上参数
-Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 再来测试
最终我们看到在子线程中也能获取到认证后的信息了
上一篇: web网页设计:学生个人网页设计 HTML个人网页制作 web个人网站模板 简单静态HTML个人网页作品
下一篇: 【开题报告】基于django+vue基于WEB的礼品卡销售系统(论文+源码)计算机毕业设计
本文标签
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。