安全认证之SecurityContextHolder

原创 已于 2022-05-02 08:57:47 修改 · 3.2w 阅读 · 159
标签
#spring security
于 2020-11-28 21:19:33 首次发布
本文深入介绍了Spring Security的核心组件SecurityContextHolder的使用方法,包括其不同工作模式及其如何在多用户环境中存储安全上下文,还提供了使用JWT实现登录功能的实际代码示例。
  1. 简介
     1) SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。
     2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL,前者表示SecurityContextHolder对象
         的全局的,应用中所有线程都可以访问;后者用于线程有父子关系的情境中,线程希望自己的子线程和自己有相同的安全性。
     3)大部分情况下我们不需要修改默认的配置,ThreadLocal是最常用也是最合适大部分应用的。
  2. 使用SecurityContextHolder获取当前登录的用户信息
    SecurityContextHolder中保存的是当前访问者的信息。Spring Security使用一个Authentication对象来表示这个信息。一般情况下,我们都不需要创建这个对象,在登录过程中,Spring Security已经创建了该对象并帮我们放到了SecurityContextHolder中。从SecurityContextHolder中获取这个对象也是很简单的。比如,获取当前登录用户的用户名,可以这样 : 
    
// 获取安全上下文对象,就是那个保存在 ThreadLocal 里面的安全上下文对象
// 总是不为null(如果不存在,则创建一个authentication属性为null的empty安全上下文对象)
SecurityContext securityContext = SecurityContextHolder.getConte
最低0.47元/天 解锁文章
SpringSecurity(七)用户数据获取之SpringSecurityContextHolder深度剖析(上)
陈橙橙
03-11 4429
登录用户数据获取 登录成功之后,在后续的业务逻辑中,我们可能还需要获取登录成功用户的用户对象,如果我们不使用任何安全框架,我们可以将用户信息保存在HttpSession中,需要的话就从HttpSession中获取数据。在SpringSecurity中,用户登录信息本质上还是保存在HttpSession中,但是为了方便使用,SpringSecurity对HttpSession中的用户信息进行了封装,封装之后,我们在想获取用户登录数据就会有两种不同的思路: 从SecurityContextHolder中获取
Spring Security:安全上下文持有者SecurityContextHolder介绍与Debug分析
kaven
01-23 6011
SecurityContextHolder 将给定的SecurityContext与当前执行线程相关联,此类提供了一系列委托给SecurityContextHolderStrategy实例的静态方法,此类的目的是提供一种方便的方法来指定应该用于给定JVM的策略,这是JVM范围的设置,因为此类中的所有内容都是static修饰,方便调用。 要指定使用哪种策略,必须提供模式设置,模式设置是定义为static final字段的三个有效设置之一,或者是提供公共无参构造方法的SecurityContextHolderS
Spring Security 身份验证的基本类/架构
swadian2008的博客
07-24 1636
用作验证用户凭据的基本过滤器。在对凭证进行身份验证之前,Spring Security 通常会使用来请求凭证。doFilter 源码】//总流程//身份认证过滤器的处理流程if (!} else {try {//1- 尝试进行身份验证return;//2-如果验证成功,创建新会话,更新sessionId//3-调用认证成功后处理流程//4-调用认证失败后处理流程//4-调用认证失败后处理流程接下来,可以对提交给它的任何身份验证请求进行身份验证。
SecurityContextHolder
weixin_57128596的博客
09-14 3150
SecurityContextHolderSpring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
SpringSecuritySecurityContextHolder详解
无限进步的博客
03-26 3116
SpringSecuritySecurityContextHolder详细解释
grails springsecuritySecurityContextHolder安全认证
qiaory的博客
05-29 368
如果你的项目使用的是spring Security,可以是使用如下两种方法 完成登录认证。或者你的项目是grails框架(比较老,网上能找到的文档很少)登录没有具体实现是通过如下配置方式完成的,而你又需要接sso这样的登录认证 需要接受到用户信息后使用这些信息完成认证的 也可以使用以下方法 方式1. 账号密码方试进行认证 方式2. 只有用户信息,没有密码的情况下 例如sso认证后返回的用户信息,可以通过以下方式完成认证
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
IT枫斗者的博客
10-06 405
由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。,也是发起认证的出发点,因为在实际需求中,我们可能会允许用户使用用户名+密码登录,同时允许用户使用邮箱+密码,手机号码+密码登录,甚至,可能允许用户使用指纹登录(还有这样的操作?由于获取当前用户的用户名是一种比较常见的需求,其实 Spring Security 在 Authentication 中的实现类中已经为我们做了相关实现,所以获取当前用户的用户名有如下更简单的方式。也就意味着,这是一种与线程绑定的策略。
hystrix使用时如果使用了SpringSecurity需要配置一下
whxwkb的博客
09-02 355
在项目中如果使用了springSecurity安全认证,在使用中如果调用远程接口,那么需要主启动类中配置: SecurityContextHolder.setStrategyName(SecurityContextHolder.MODE_INHERITABLETHREADLOCAL); 将SecurityContextHolder 设置为可继承的属性。 因为hystrix会拦截所有的feign远程调用,并重启个线程去调用。因此这时的认证信息 SecurityContextHolder中会取不到。 ..
Spring Security 学习笔记1
Tong_zhi的博客
11-07 372
认识 Spring Security 中常用的几个类 1. SecurityContextHolder SecurityContextHolder 默认使用ThreadLocal策略来存储认证信息 ThreadLocal:与当前线程绑定,用来存储用户信息 获取当前用户信息 Object principal = SecurityContextHolder.getContext().getAut...
Spring Security SecurityContextHolder(安全上下文信息)
疯一样的码农
11-19 2775
在本篇博客中,我们将讨论 Spring Security 的组件,包括其实现方式、关键特性,并通过实际示例进行说明。
spring-security SecurityContextHolder
m13012606980的专栏
02-06 1786
翻译版本【spring-security 6.2.1】SecurityContextHolder
Spring Security 总结详解
最新发布
weixin_62906774的博客
08-11 1622
loginPage("/login.html") // 登录页URL.loginProcessingUrl("/doLogin") // 提交登录的URL.usernameParameter("username") // 用户名参数名.passwordParameter("password") // 密码参数名全面的认证机制:支持表单登录、JWT、OAuth2 等细粒度的授权控制:URL 级、方法级、对象级内置安全防护:CSRF、XSS、会话管理等。
Spring Security(学习笔记)-SecurityContextHolder
TONGZHOUGONGDU的博客
04-22 4656
匿名访问,多线程获取用户信息。
[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
qq_41662584的博客
09-15 404
【代码】[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2844
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
spring security (二) 认证核心类
weixin_54515490的博客
08-09 486
被用作验证用户凭证的基础 Filter。在认证凭证之前,Spring Security 通常通过使用来请求凭证。接下来,AbstractAuthenticationProcessingFilter 可以对提交给它的任何认证请求进行认证。当用户提交他们的凭证时,AbstractAuthenticationProcessingFilter 会从 HttpServletRequest 中创建一个要认证的。
SpringSecurity将认证信息存入安全上下文
pan_junbiao的博客
04-29 796
Spring Security 通过其核心组件 ‌SecurityContextHolder‌ 管理认证信息的存储和访问。认证信息存储的组件结构‌:SecurityContextHolder‌:作为安全上下文的持有者,默认使用 ThreadLocal 存储当前线程的 SecurityContext,确保不同线程间的上下文隔离。SecurityContext‌:包含当前用户的认证信息,核心属性为 Authentication 对象。
SecurityContextHolder实现原理(策略模式和ThreadLocal)
CTPeng的博客
12-04 4343
SecurityContextHolder实现原理一、核心组件1.1 SecurityContextHolder1.2 SecurityContextHolderStrategy1.3ThreadLocalSecurityContextHolderStrategy二、ThreadLocal源码分析1.1实现该功能的核心技术1.2ThreadLocal总结总结 SecurityContextHolderSpringSecurity中保存认证信息的核心组件,重点是将给定的认证信息(SecurityConte
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 2282
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
Security
Dusttang的博客
05-22 1669
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring SecuritySpring 家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP(访问协议)等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值