springsecurity 在web中如何获取用户信息(后端/前端)

一、SecurityContextHolder 是什么

SecurityContextHolder用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在Session中。但是，为了使用方便,Spring Security在此基础上还做了一些改进，其中最主要的一个变化就是线程绑定。当用户登录成功后Spring Security 会将登录成功的用户信息份存到 SecuritvContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLoca来实现的，使用 ThreadLocal 创建的变量只能被当前线程访问，不能被其他线程访问和修改，也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后，Spring Security 会将SecurityContextHolder 中的数据拿出来保存到 Session 中，同时将 SecurityContexHolder中的数据清空。以后每当有请求到来时，Spring Security 就会先从 Session 中取出用户登录数据，保存到 SecuritvContextHolder 中，方便在该请求的后续处理过程中使用，同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中，然后将 SecuritySecurityContextHolder 中的数据清空。这一策略非常方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据。是一个安全的上下文对象，用于获取身份验证通过的用户信息；

二、SecurityContextHolder 是何时被创建的

当我们经过表单UsernamePasswordAuthenticationFilter 过滤器后，会回调父类的AbstractAuthenticationProcessingFilter，父类的AbstractAuthenticationProcessingFilter 是一个过滤器，那么肯定有 filter doFilter 方法，进到里面后看到认证成功后，会调用successfulAuthentication 方法，最终看到SecurityContextHolder 被创建成功；

2.1 源码实现

2.2 官方文档说明

三、通过SecurityContextHolder 如何获取认证后的用户信息

通过源码得知，当我们登录成功后，通过SecurityContextHolder.create后放置进去的，那么我们也可以通过get 获取到

3.1 官方文档指导如何获取

3.2 代码获取实战

/***  获取用户信息* @return*/@RequestMapping("getUserInf.do")@ResponseBodypublic String getUserInf() {SecurityContext context = SecurityContextHolder.getContext();Authentication authentication = context.getAuthentication();System.out.println(authentication);try {String s = new ObjectMapper().writeValueAsString(authentication);return s;} catch (JsonProcessingException e) {e.printStackTrace();}return "err";
}

3.3 日志打印结果

四、web 前端获取认证后的信息通过(thymeleaf)

有时候我们想通过前端标签，判断用户有哪些权限或者角色，类似于shiro 标签那种，实际上springsecurity 也有

4.1 导入pom依赖

<dependency>

        <groupId>org.thymeleaf.extras</groupId>

        <artifactId>thymeleaf-extras-springsecurity5</artifactId>

  </dependency>

4.2 html 标签加上命名空间

<html xmlns="http://www.w3.org/1999/xhtml"

xmlns:th="http://www.thymeleaf.org"

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extrasspringsecurity5">

<div class="container"><h1> 获取用户信息，通过标签</h1><!--获取认证用户名--><ul><li sec:authentication="principal.username"></li><li sec:authentication="principal.authorities"></li><li sec:authentication="principal.accountNonExpired"></li><li sec:authentication="principal.accountNonLocked"></li><li sec:authentication="principal.credentialsNonExpired"></li></ul><br><h1> 获取用户权限信息，通过标签</h1><!--如果没认证--><div sec:authorize="!isAuthenticated()">显示没认证的内容</div><!--如果认证了--><div sec:authorize="isAuthenticated()">显示认证的内容</div>通过权限判断：<button sec:authorize="hasAuthority('/insert')">新增</button><button sec:authorize="hasAuthority('/delete')">删除</button><button sec:authorize="hasAuthority('/update')">修改</button><button sec:authorize="hasAuthority('/select')">查看</button><br/>通过角色判断：<button sec:authorize="hasRole('admin')">新增</button><button sec:authorize="hasRole('admin')">删除</button><button sec:authorize="hasRole('admin')">修改</button><button sec:authorize="hasRole('admin')">查看</button></div>

4.3 测试后效果

我们给当前用户配置了一个 admin的角色，没有配置任何权限，最终效果，页面权限一个都没有显示出来，后面配置了角色 admin 的对应的四个button按钮就出来了，也就是达到了我们的效果；

五、如果我开启了一个子线程，是否还可以获取到认证信息呢

在实际后端开发中，有可能在主方法中开启了一个新的线程去获取其他信息，但是新线程里面也去获取了这个 SecurityContextHolder.getContext(); 那么肯定是获取不到的，因为我们看到SecurityContextHolder 的源码得知，默认的策略模式是 threadlocal 模式

5.1 代码测试

 @RequestMapping("index.page")public String index() {SecurityContext context = SecurityContextHolder.getContext();Authentication authentication = context.getAuthentication();System.out.println("我是主线程的用户信息："+authentication);new Thread(() -> {SecurityContext context1 = SecurityContextHolder.getContext();System.out.println("我是子线程的信息："+context1.getAuthentication());}).start();return "userinf";
}

5.2 日志打印结果

我们可以看到子线程里面获取到的是一个空，那么有没有办法在子线程里面也获取到呢，其实是有的，可以手动将这个认证的对象传到子线程里面去，或者通过

在开启子线程的时候通过 SecurityContextHolder.getContext().setAuthentication() 但是这种方式太不优雅了，其实我们看看源码，是可以更改策略就能实现的；

5.3 SecurityContextHolder 源码

我们看到有四个策略

MODE_THREADLOCAL 基于 threadLocal 实现，默认就是这个策略

MODE_INHERITABLETHREADLOCAL 基于inheritablethreadlocal 实现，他是将主线程值拷贝到子线程一份，jdk 自带

MODE_GLOBAL 全局的一个静态变量，很少用

MODE_PRE_INITIALIZED 用的少