网站建设服务合同交印花税,做视频解析网站是犯法的么,动易学校网站管理系统 漏洞,网站建设和网页设计一、前言
此篇是对上篇 Spring Security 6.x 系列#xff08;5#xff09;—— Servlet 认证体系结构介绍 中4.9章节显式调用SecurityContextRepository#saveContext进行详解分析。
二、设置和修改登录态
2.1 登录态存储形式
使用Spring Security框架#xff0c;认证成功…一、前言
此篇是对上篇 Spring Security 6.x 系列5—— Servlet 认证体系结构介绍 中4.9章节显式调用SecurityContextRepository#saveContext进行详解分析。
二、设置和修改登录态
2.1 登录态存储形式
使用Spring Security框架认证成功后的用户信息会放在Authentication对象的Principal中 Authentication对象又会被放入SecurityContext中而SecurityContext 存在这2个地方 SecurityContextHolderStrategy 线程级别的SecurityContext持有策略。有全局共享、线程继承、线程隔离等几种获取上下文的方式上文有过介绍。 SecurityContextRepository持久化SecurityContext 默认存入HttpServletRequest和HttpSession。
在代码中我们要获取用户登录信息可以通过SecurityContextHolder.getContext().getAuthentication()的方式获取这种方式是从SecurityContextHolderStrategy获取用户数据。而SecurityContextHolderStrategy初始化数据又是来自SecurityContextRepository相关逻辑是在SecurityContextHolderFilter类里。
SecurityContextHolderFilter#doFilter源码如下 查看securityContextRepository如下 设想一种场景在用户登录后编辑了用户信息这时要同步刷新SecurityContext里的用户信息。我们要如何更新这两个处的用户数据呢
2.2 更新SecurityContextHolderStrategy中的用户信息
要更新SecurityContextHolderStrategy非常简单因为它保存在内存里只要通过SecurityContextHolder.getContext().getAuthentication() 获取认证信息后直接设置对应的属性内存中属性值发生变化后续处理逻辑就能读到最新值。
Authentication authentication SecurityContextHolder.getContext().getAuthentication();
MyUser myUser (MyUser) authentication.getPrincipal();
myUser.setNickname(新的昵称);2.3 更新SecurityContextRepository中的用户信息
2.3.1 了解SecurityContextRepository接口
SecurityContextRepository是一个接口源码如下
public interface SecurityContextRepository {/** deprecated */DeprecatedSecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder);default DeferredSecurityContext loadDeferredContext(HttpServletRequest request) {SupplierSecurityContext supplier () - {return this.loadContext(new HttpRequestResponseHolder(request, (HttpServletResponse)null));};return new SupplierDeferredSecurityContext(SingletonSupplier.of(supplier), SecurityContextHolder.getContextHolderStrategy());}void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response);boolean containsContext(HttpServletRequest request);
}
SecurityContextRepository接口有以下几个实现类
NullSecurityContextRepository什么都不做也就是不会存储每次请求都需要重新认证HttpSessionSecurityContextRepository将SecurityContext保存在Session中获取的时候从Session中查询RequestAttributeSecurityContextRepository将SecurityContext保存在请求对象HttpServletRequest中DelegatingSecurityContextRepository委派代理存储内部维护多个SecurityContextRepository实现同时支持多种方式存储SecurityContext。
2.3.2 无法直接获取SecurityContextRepository对象
要知道怎么更新SecurityContextRepository 我们先看其他地方是怎么调用它。往SecurityContextRepository写数据是在用户认证成功之后调用AbstractAuthenticationProcessingFilter#successfulAuthentication() 方法执行认证成功的后续逻辑时。 这里的this.securityContextRepository是通过setter方法传进来的并且发现Spring Security没有把SecurityContextRepository注册到Spring容器而且Spring Security其他持有SecurityContextRepository对象的类都没有暴露SecurityContextRepository的获取方法。也就是说我们无法从Spring Security拿到默认的SecurityContextRepository对象。
debug发现this.securityContextRepository属性指向了 DelegatingSecurityContextRepository这是委派代理存储代理的对象是 RequestAttributeSecurityContextRepository和 HttpSessionSecurityContextRepository所以在默认的情况下用户登录成功之后在这里就把登录用户数据分别存入到HttpSessionSecurityContextRepository和RequestAttributeSecurityContextRepository中。 部分DelegatingSecurityContextRepository源码如下 2.3.3 手动设置SecurityContextRepository对象
为了顺利拿到SecurityContextRepository对象我们可以手动往Spring容器注册一个SecurityContextRepository对象然后把它塞到Spring Security里。通过这种方式我们能从Spring容器拿到SecurityContextRepository 对象然后随时刷新SecurityContext。
具体实现代码如下
Bean
public SecurityContextRepository securityContextRepository() {return new DelegatingSecurityContextRepository(new RequestAttributeSecurityContextRepository(), new HttpSessionSecurityContextRepository());
}Bean
public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity, SecurityContextRepository securityContextRepository) throws Exception {httpSecurity.securityContext((context) - context.securityContextRepository(securityContextRepository()));
}这里DelegatingSecurityContextRepository是Spring Security中的SecurityContextRepository默认实现我们原封不动保留下来。
2.3.4 更新登录态
在更新完SecurityContextHolderStrategy 对象之后我们显式把SecurityContext重新保存到SecurityContextRepository。
// 更新SecurityContextHolderStrategy
Authentication authentication SecurityContextHolder.getContext().getAuthentication();
MyUser myUser (MyUser) authentication.getPrincipal();
myUser.setNickname(新的昵称);// 更新SecurityContextRepository
securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);三、总结
通过显式更新SecurityContextHolderStrategy、SecurityContextRepository 我们就能完整更新SecurityContext 中的用户信息。如果项目中引入了Spring SessionSpring Session维护的登录态也会同步更新。
