springsecurity 在web中怎样获取用户信息(后端/前端)

一、SecurityContextHolder 是什么

      SecurityContextHolder用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在Session中。但是，为了使用方便,Spring Security在此底子上还做了一些改进，其中最重要的一个变革就是线程绑定。当用户登录成功后Spring Security 会将登录成功的用户信息份存到 SecuritvContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLoca来实现的，使用 ThreadLocal 创建的变量只能被当前线程访问，不能被其他线程访问和修改，也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后，Spring Security 会将SecurityContextHolder 中的数据拿出来保存到 Session 中，同时将 SecurityContexHolder中的数据清空。以后每当有请求到来时，Spring Security 就会先从 Session 中取出用户登录数据，保存到 SecuritvContextHolder 中，方便在该请求的后续处理过程中使用，同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中，然后将 SecuritySecurityContextHolder 中的数据清空。这一策略非常方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据。是一个安全的上下文对象，用于获取身份验证通过的用户信息；
  

二、SecurityContextHolder 是何时被创建的

    当我们经过表单UsernamePasswordAuthenticationFilter 过滤器后，会回调父类的AbstractAuthenticationProcessingFilter，父类的AbstractAuthenticationProcessingFilter 是一个过滤器，那么肯定有 filter doFilter 方法，进到里面后看到认证成功后，会调用successfulAuthentication 方法，最终看到SecurityContextHolder 被创建成功；
  

---

2.1 源码实现

2.2 官方文档分析

---

三、通过SecurityContextHolder 怎样获取认证后的用户信息

   通过源码得知，当我们登录成功后，通过SecurityContextHolder.create后放置进去的，那么我们也可以通过get 获取到
  3.1 官方文档引导怎样获取

3.2 代码获取实战

1. /**
2.      *  获取用户信息
3.      * @return
4.      */
5.     @RequestMapping("getUserInf.do")
6.     @ResponseBody
7.     public String getUserInf() {
8.         SecurityContext context = SecurityContextHolder.getContext();
9.         Authentication authentication = context.getAuthentication();
10.         System.out.println(authentication);
11.         try {
12.             String s = new ObjectMapper().writeValueAsString(authentication);
13.             return s;
14.         } catch (JsonProcessingException e) {
15.             e.printStackTrace();
16.         }
18.         return "err";
19. }

复制代码

3.3 日志打印结果

---

四、web 前端获取认证后的信息通过(thymeleaf)

   有时候我们想通过前端标签，判断用户有哪些权限或者脚色，雷同于shiro 标签那种，实际上springsecurity 也有
  4.1 导入pom依赖

    <dependency>
          <groupId>org.thymeleaf.extras</groupId>
          <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    </dependency>
  4.2 html 标签加上命名空间

   

<html xmlns="http://www.w3.org/1999/xhtml"

  

xmlns:th="http://www.thymeleaf.org"

  

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extrasspringsecurity5">

1. <div class="container">
2.         <h1> 获取用户信息，通过标签</h1>
4.         <!--获取认证用户名-->
5.         <ul>
6.             <li sec:authentication="principal.username"></li>
7.             <li sec:authentication="principal.authorities"></li>
8.             <li sec:authentication="principal.accountNonExpired"></li>
9.             <li sec:authentication="principal.accountNonLocked"></li>
10.             <li sec:authentication="principal.credentialsNonExpired"></li>
11.         </ul>
13.         <br>
14.         <h1> 获取用户权限信息，通过标签</h1>
15.         <!--如果没认证-->
16.         <div sec:authorize="!isAuthenticated()">显示没认证的内容</div>
17.         <!--如果认证了-->
18.         <div sec:authorize="isAuthenticated()">显示认证的内容</div>
20.         通过权限判断：
21.         <button sec:authorize="hasAuthority('/insert')">新增</button>
22.         <button sec:authorize="hasAuthority('/delete')">删除</button>
23.         <button sec:authorize="hasAuthority('/update')">修改</button>
24.         <button sec:authorize="hasAuthority('/select')">查看</button>
25.         <br/>
26.         通过角色判断：
27.         <button sec:authorize="hasRole('admin')">新增</button>
28.         <button sec:authorize="hasRole('admin')">删除</button>
29.         <button sec:authorize="hasRole('admin')">修改</button>
30.         <button sec:authorize="hasRole('admin')">查看</button>
32.     </div>

复制代码

4.3 测试后结果

   我们给当前用户配置了一个 admin的脚色，没有配置任何权限，最终结果，页面权限一个都没有体现出来，后面配置了脚色 admin 的 对应的四个button按钮就出来了，也就是到达了我们的结果；
  

---

五、如果我开启了一个子线程，是否还可以获取到认证信息呢

   在实际后端开发中，有可能在主方法中开启了一个新的线程去获取其他信息，但是新线程里面也去获取了这个 SecurityContextHolder.getContext(); 那么肯定是获取不到的，因为我们看到SecurityContextHolder 的源码得知，默认的策略模式是  threadlocal 模式
  5.1 代码测试

1. @RequestMapping("index.page")
2.     public String index() {
3.         SecurityContext context = SecurityContextHolder.getContext();
4.         Authentication authentication = context.getAuthentication();
5.         System.out.println("我是主线程的用户信息："+authentication);
6.         new Thread(() -> {
7.             SecurityContext context1 = SecurityContextHolder.getContext();
8.             System.out.println("我是子线程的信息："+context1.getAuthentication());
9.         }).start();
12.         return "userinf";
13. }

复制代码

5.2 日志打印结果

    我们可以看到子线程里面获取到的是一个空，那么有没有办法在子线程里面也获取到呢，实在是有的，可以手动将这个认证的对象传到子线程里面去，或者通过 
  在开启子线程的时候通过 SecurityContextHolder.getContext().setAuthentication() 但是这种方式太不优雅了，实在我们看看源码，是可以更改策略就能实现的；                  
  

5.3 SecurityContextHolder 源码

   我们看到有四个策略
  MODE_THREADLOCAL  基于 threadLocal 实现，默认就是这个策略
  MODE_INHERITABLETHREADLOCAL  基于inheritablethreadlocal 实现，他是将主线程值拷贝到子线程一份，jdk 自带
  MODE_GLOBAL   全局的一个静态变量，很少用
  MODE_PRE_INITIALIZED   用的少
  

5.4 自界说策略，使用子线程也可以获取到认证信息

   我们看到 String SYSTEM_PROPERTY = "spring.security.strategy"; 是一个体系变量参数，那么我们可以在启动时候加上参数
   -Dspring.security.strategy=MODE_INHERITABLETHREADLOCAL 再来测试
  

最终我们看到在子线程中也能获取到认证后的信息了

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。