SpringBoot整合SpringSecurity [超详细] (二)获取用户信息

最新推荐文章于 2025-04-17 17:52:16 发布
最新推荐文章于 2025-04-17 17:52:16 发布
阅读量2.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: # SpringBoot 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46030002/article/details/126367295

文章目录

前言

前置条件:

  • 要求掌握简单的项目搭建
  • (默认用户名和随机密码)或者(自定义用户名和密码)

项目结构如下:

在这里插入图片描述

一、代码版

在这里插入图片描述

package cn.cy.controller;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;


@RestController
public class HelloController {
    // 此处的 User是SpringSecurity提供的一个封装用户的类
    @RequestMapping("/getUser")
    public User getUser(){
        // SecurityContext 安全上下文. 用来存储认证授权的相关信息(账号信息和相关权限)
        SecurityContext context = SecurityContextHolder.getContext();
        // Authentication 封装了登录用户信息的对象
        Authentication authentication = context.getAuthentication();
        // 基于认证对象获取用户身份信息
        User user = (User)authentication.getPrincipal();
        System.out.println(user);
        return user;
    }
}

请添加图片描述

二、注解版

在这里插入图片描述

package cn.cy.controller;

import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;


@RestController
public class HelloController {
    // 此处的 User是SpringSecurity提供的一个封装用户的类
    @RequestMapping("/getUser")
    public UserDetails getUser(@AuthenticationPrincipal UserDetails user){
        System.out.println(user);
        return user;
    }
}

请添加图片描述

三、拓展

1. SecurityContext接口

安全上下文,这个接口可以设置(setter)或者获取(getter)当前的认证对象。

SecurityContext源码:

public interface SecurityContext extends Serializable {
	/**
	 * 获取当前经过身份验证的主体,或身份验证请求令牌。
	 * @return 如果没有可用的身份验证信息,则 Authentication 或 null
	 */
    Authentication getAuthentication();
	/**
	 * 更改当前经过身份验证的主体,或删除身份验证信息。
	 * @param authentication – 新的身份验证令牌,如果不应存储进一步的身份验证信息,则为 null
	 */
    void setAuthentication(Authentication authentication);
}

2. Authentication接口

认证对象

  • principa
    • 定义认证的用户,通常指的就是UserDetail对象
  • credentials
    • 登录凭证,一般指的是密码,当用户登录成功之后,这个密码是不被保存的,以防止泄露 – Password=[PROTECTED]
  • authorities
    • 用户的权限信息

Authentication源码

public interface Authentication extends Principal, Serializable {

	/**
	 * 获取用户权限
	 */
	Collection<? extends GrantedAuthority> getAuthorities();
	
	/**
	 * 用来获取用户凭证,一般来说就是密码。
	 */
	Object getCredentials();

	/**
	 * 用来获取用户的详细信息,可能是当前的请求之类。
	 */
	Object getDetails();

	/**
	 * 用来获取当前用户信息信息,可能是一个用户名,也可能是一个用户对象。
	 */
	Object getPrincipal();

	/**
	 * 当前用户是否认证成功。
	 */
	boolean isAuthenticated();
	
	/**
	 * 
	 */
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

通过上述的信息,可以看出在SpringSecurity中,只要我们获取了Authentication对象,就可以获取到登录用户的用户详情了。

3. SecurityContextHolder

工具类,用于存放 SecurityContext ,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象

3.1 SecurityContextHolder重要方法
  • public static SecurityContext getContext()
    • 获取SercurityContext安全上下文对象
  • public static void setContext(SecurityContext context)
    • 设置/修改SercurityContext安全上下文对象
  • public static void clearContext()
    • 清除SercurityContext安全上下文对象
  • public static SecurityContext createEmptyContext()
    • 创建一个空的SercurityContext安全上下文对象
3.2 SecurityContextHolder存储策略
public class SecurityContextHolder {

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";

	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";

	public static final String MODE_GLOBAL = "MODE_GLOBAL";
}

  1. MODE_THREADLOCAL

    • 将SecurityContext存放在ThreadLocal中,ThreadLocal的特点是在哪个线程中存储就要在哪个线程中读取,这其实非常适合web应用,因为在默认情况下,一个请求无论经过多少Filter到达Servlet,都是由一个线程来处理的,这也是SecurityContextHolder默认的存储策略,这种存储策略意味着如果在具体的业务代码中,开启了子线程,在子线程去获取登录用户数据,就会获取不到。

  2. MODE_INHERITABLETHREADLOCAL

    • 这种存储模式适用于多线程环境,如果希望在子线程中也能够获取到登录用户数据,那么可以使用这种存储模式。

  3. MODE_GLOBAL

    • 这种存储模式实际上是将数据保存在一个静态变量中,在JAVAWeb开发中,这种模式很少使用到

4. SecurityContextHolder,SecurityContext,Authentication的关系

在这里插入图片描述

SpringBoot使用自定义注解实现登录用户获取(详细步骤+图解)
撸码社区的博客
04-17 2936
SpringBoot使用自定义注解实现登录用户获取
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 803
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
shiro spring boot的junit测试 获取SecurityUtils
wdd668的专栏
03-25 675
spring boot :2.2.8.RELEASE shiro:1.4.1 junit:junit-jupiter-api-5.5.2.jar 在测试类中需要引用 到shiro的登录信息SecurityUtils 不使用mock的情况下 import com.hdlh.network.graph.service.GraphService; import com.product.hdlh.HdlhApplicationTests; import org.apache.shiro.Securit
SpringBoot整合Spring Security
最新发布
qq_50465570的博客
04-17 985
Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。
关于SpringBootSecurityUtils在 Thread 中无法获取的问题!
活在梦里鑫的博客
04-13 425
1.创建一个 ThreadLocalUtil 用于保存请求头的信息。2.继承HandlerInterceptor 用于拦截请求头信息。3.拦截feign接口,并传递请求头信息。
springboot + springsecurity(系统认证与权限控制)
热门推荐
萝卜坑
06-12 1万+
springboot + springsecurity(系统认证与权限控制) 1、什么是spring security? Spring Security 用来为java应用提供认证和授权管理,是一个强大的并且可以自定义的认证和权限控制框架。 最主要的就是两部分内容:Authentication(认证)和Authorization(授权,也称访问控制) Authentication(认证):验证当前...
Spring Boot】配置 Spring Security
书山有路,学海无涯。记录成长,追逐梦想
08-02 4435
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringBoot整合Spring Security【超详细教程】
m0_52789121的博客
06-12 8695
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复
SpringBoot整合Spring Security的详细教程
08-18
通过本文,我们可以了解到 SpringBoot 整合 Spring Security 的详细教程,包括单点登录、JWT Token、RSA 加密算法、认证服务器用户登录功能等。这些知识点对于学习 Spring Security 的朋友非常有帮助。
SpringBoot入门实战:SpringBoot整合SpringSecurity
qq_24428851的博客
06-30 716
SpringBootSpring官方推出的一款快速开发框架,它基于Spring框架,采用了约定大于配置的开发方式,简化了开发过程,提高了开发效率。SpringBoot整合SpringSecuritySpringBootSpringSecurity的集成,可以实现对应用程序的安全性管理,包括身份验证、授权、会话管理等。SpringSecuritySpring框架的一个安全模块,它提供了对应用程序的安全性管理功能,包括身份验证、授权、会话管理等。
Springboot自定义参数注解,通过拦截器获取token用户数据,注入user实体到方法中
Lyndon的专栏
06-30 4852
Springboot使用自定义参数注解获取token中用户数据,自定义参数解析HandlerMethodArgumentResolver
核心组件之SecurityContextHolder
dieqiuxie4160的博客
08-04 703
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息。 上下文细节怎么表示? 用SecurityContext对象来表示 每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢? 存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityCo...
SpringBoot学习笔记()——SpringSecurity
XXMRXXX的博客
12-04 684
文章目录SpringSecurity基本配置hello, securityapplication.properties配置java代码实现在内存中配置用户名和密码HttpSecurity配置在configure(HttpSecurity http)方法中配置登录表单formLogin()在configure(HttpSecurity http)方法中配置注销登录配置多个HttpSecuritySpringSecurity提供的密码加密方式BCryptPasswordEncoder方法安全基于数据库的认证高级
SpringSecurity工作原理
无心
12-02 1293
通过支持不同类型的Authentication实现,Spring Security能够提供一个统一的框架来处理多种认证机制,从而增加了框架的通用性和灵活性。这样,开发者可以根据自己的安全需求和业务逻辑选择或扩展适当的认证类型。
Spring Security基本原理
花&败
07-17 3440
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
SpringBoot整合SpringSecurity+Redis权限控制
李长渊的博客
03-21 7204
SpringBooot整合SpringSecurity权限控制初次学习。
Springboot之Security前后端分离登录
光滑的秃头
09-14 5696
Springboot之初识Spring Security什么是Spring Security初识Security具体代码实现1 引入Security包2 创建Security配置类3 创建UserInfo类4 实现UserDetailsService提供一个登录接口 什么是Spring Security Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身
【深入浅出 Spring Security(四)】登录用户数据的获取超详细的源码分析
qq_63691275的博客
06-03 2673
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
Springboot 方法注解 获取当前用户
zsj777的专栏
06-25 8232
1、注解 package com.ahies.system.common.annotation; import java.lang.annotation.*; /** * 当前用户Java对象注解类. * */ @Documented @Target({ElementType.PARAMETER}) @Retention(RetentionPolicy.RUNTIME) public...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值