spring security获取用户信息的实现代码

前言

我们在使用spring security的时候可以通过好几种方法获取用户信息, 但是今天这篇文章介绍的是一个笔者觉得最优雅的实现; 借鉴现有的spring security controller自动注入参数的方法, 我们来进一步的实现更适合我们业务的用户信息获取方法;

思路

现在spring security会在controller自动注入Authentication/Userdetails等参数, 我们拿到这些对象之后还需要一些处理才可以拿到我们需要的信息, 例如用户ID; 那获取用户ID这个步骤其实可以切片的, 我们直接在controller的参数绑定之前, 获取到我们需要的用户信息, 然后添加到request的param里面, 就可以实现获取用户信息, controller里面使用参数名可以直接接收参数;

少啰嗦, 看代码

首先我们这个功能的实现遇到额第一个障碍就是默认的HttpServletRequest是没有提供修改Parameter的方法的, 那么我们即使获取到用户信息也无法写入request; 解决这个问题就需要自己实现一个HttpServletRequestWrapper, 再使用一个Filter替换原来的request;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import java.util.Vector;

/**
 * @author sunhao
 * @date create in 2019-12-09 14:39:52
 */
public class UserInfoRequest extends HttpServletRequestWrapper {

  private Map<String, String[]> params = new HashMap<>();

  /**
   * Constructs a request object wrapping the given request.
   *
   * @param request The request to wrap
   *
   * @throws IllegalArgumentException if the request is null
   */
  public UserInfoRequest(HttpServletRequest request) {

    super(request);
    //将参数表,赋予给当前的Map以便于持有request中的参数
    this.params.putAll(request.getParameterMap());
  }

  /**
   * 在获取所有的参数名,必须重写此方法,否则对象中参数值映射不上
   */
  @Override
  public Enumeration<String> getParameterNames() {
    return new Vector<>(params.keySet()).elements();
  }

  /**
   * 重写getParameter方法
   *
   * @param name 参数名
   * @return 返回参数值
   */
  @Override
  public String getParameter(String name) {
    String[] values = params.get(name);
    if (values == null || values.length == 0) {
      return null;
    }
    return values[0];
  }

  @Override
  public String[] getParameterValues(String name) {
    String[] values = params.get(name);
    if (values == null || values.length == 0) {
      return null;
    }
    return values;
  }

  /**
   * 增加参数
   *
   * @param name 参数名
   * @param value 参数值
   */
  public void addParameter(String name, Object value) {
    if (value != null) {
      if (value instanceof String[]) {
        params.put(name, (String[]) value);
      } else if (value instanceof String) {
        params.put(name, new String[]{(String) value});
      } else {
        params.put(name, new String[]{String.valueOf(value)});
      }
    }
  }
}

这段代码使用了乐傻驴用户的代码, 在此表示感谢; 然后使用Filter将原有的request替换;

@Component
public class UserInfoFilter extends OncePerRequestFilter {

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    filterChain.doFilter(new UserInfoRequest(request), response);
  }
}

现在我们可以获取用户信息然后写入request的parameter了, 这个逻辑是在filter里实现还是在interceptor里实现就看读者自己的想法了; 笔者系统里面有多种用户, 获取用户信息的逻辑有所不同, 所以笔者选择使用interceptor来实现, 可以通过自定义注解来控制注入哪种用户信息;

@Component
public class UserInfoInterceptor implements HandlerInterceptor {

  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

    Method method = ((HandlerMethod) handler).getMethod();
    AdminUserInfo adminUserInfo = method.getDeclaredAnnotation(AdminUserInfo.class);
    if (adminUserInfo != null) {

      // 获取用户信息的逻辑 自由发挥
      Long userId = ((Admin) ((OAuth2Authentication) request.getUserPrincipal()).getPrincipal()).getId();

      // 将用户信息写入request的parameter
      ((UserInfoRequest)request).addParameter("userId", userId);
      return true;
    }

    EmployeeUserInfo employeeUserInfo = method.getDeclaredAnnotation(EmployeeUserInfo.class);
    if (employeeUserInfo != null) {
      Long userId = ((Employee) ((OAuth2Authentication) request.getUserPrincipal()).getPrincipal()).getId();
      ((UserInfoRequest)request).addParameter("userId", userId);
      return true;
    }

    return true;
  }
}

上面我自己写了两个注解, 这两个注解的代码我就不贴出来了, 写这两个注解完全就是为了注入不同的用户信息; 大家可以各自发挥, 注解不是必须的, 如果大家系统里面只有一种用户或者由于其他原因可以直接注入parameter; 接下来配置interceptor

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

  private final UserInfoInterceptor userInfoInterceptor;

  public WebMvcConfig(UserInfoInterceptor userInfoInterceptor) {

    this.userInfoInterceptor = userInfoInterceptor;
  }

  @Override
  public void addInterceptors(InterceptorRegistry registry) {

    registry.addInterceptor(userInfoInterceptor);
  }
}

代码写到这里功能已经做完了, 我们可以在controller里面这样获取用户信息

 @EmployeeUserInfo // 自定义注解
 @GetMapping
 public void testObtainUserInfo(Long userId) {

  System.out.println("userId = " + userId);
 }

写EmployeeUserInfo注解注入的就是employee的用户信息, 写AdminUserInfo注解注入的就是admin的用户信息

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • Spring Security 强制退出指定用户的方法

    应用场景 最近社区总有人发文章带上小广告,严重影响社区氛围,好气!对于这种类型的用户,就该永久拉黑! 社区的安全框架使用了 spring-security 和 spring-session,登录状态 30 天有效,session 信息是存在 redis 中,如何优雅地处理这些不老实的用户呢? 首先,简单划分下用户的权限: 管理员(ROLE_MANAGER):基本操作 + 管理操作 普通用户(ROLE_USER):基本操作 拉黑用户(ROLE_BLACK):不允许登录 然后,拉黑指定用户(ROLE

  • SpringSecurity动态加载用户角色权限实现登录及鉴权功能

    很多人觉得Spring Security实现登录验证很难,我最开始学习的时候也这样觉得.因为我好久都没看懂我该怎么样将自己写的用于接收用户名密码的Controller与Spring Security结合使用,这是一个先入为主的误区.后来我搞懂了:根本不用你自己去写Controller. 你只需要告诉Spring Security用户信息.角色信息.权限信息.登录页是什么?登陆成功页是什么?或者其他有关登录的一切信息.具体的登录验证逻辑它来帮你实现. 一.动态数据登录验证的基础知识 在本号之前的文

  • Java中SpringSecurity密码错误5次锁定用户的实现方法

    Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作. 下面看下实例代码: 第

  • 如何使用Spring Security手动验证用户的方法示例

    1.概述 在这篇快速文章中,我们将 重点介绍如何以编程方式在Spring Security和Spring MVC中设置经过身份验证的用户 . 2. Spring Security 简而言之, Spring Security在ThreadLocal中保存每个经过身份验证的用户的主要信息 - 保存的是Authentication对象 . 为了构造和设置此Authentication对象, 通常我们需要使用Spring Security在标准身份验证上构建对象的相 同方法. 要让我们手动触发身份验证,

  • spring Security的自定义用户认证过程详解

    首先我需要在xml文件中声明.我要进行自定义用户的认证类,也就是我要自己从数据库中进行查询 <http pattern="/*.html" security="none"/> <http pattern="/css/**" security="none"/> <http pattern="/img/**" security="none"/> <h

  • SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法

    一.Security简介 1.基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作. 2.核心API解读 1).SecurityContextHolder 最基本的对象,保存着当前会话用户认证,权限,鉴权等核心数据.Secu

  • spring security获取用户信息的实现代码

    前言 我们在使用spring security的时候可以通过好几种方法获取用户信息, 但是今天这篇文章介绍的是一个笔者觉得最优雅的实现; 借鉴现有的spring security controller自动注入参数的方法, 我们来进一步的实现更适合我们业务的用户信息获取方法; 思路 现在spring security会在controller自动注入Authentication/Userdetails等参数, 我们拿到这些对象之后还需要一些处理才可以拿到我们需要的信息, 例如用户ID; 那获取用户I

  • Spring Security获取用户认证信息的实现流程

    目录 登录用户数据获取 SecurityContextHolder SecurityContextHolderStrategy 多线程情况下获取用户数据 页面上获取用户信息 登录用户数据获取 SecurityContextHolder ​ Spring Security 会将登录用户数据保存在 Session 中.但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定.当用户登录成功后,Spring Security 会将登录成功的用户信息保

  • 微信小程序如何获取用户信息

    最近在研究微信小程序怎么玩的.接触后发现好多的坑. 比如在浏览器中我们可以通过document.getElementById 获取到页面的DOM对象.而在微信小程序中是获取不到DOM对象的.document.getElementById() 直接报错 getElementById not function 我也是醉了.不支持这个好多有趣的功能不能实现了. 言归正传,我谈下获取用户信息的感想. 有两种获取用户信息的方案. 1.不包含敏感信息openId 的json对象(包含:nickname.av

  • 微信小程序实现授权登录之获取用户信息

    微信小程序实现授权登录之获取用户信息

    本文实例为大家分享了微信小程序实现获取用户信息的具体代码,供大家参考,具体内容如下 小程序登录 小程序可以通过微信官方提供的登录能力方便地获取微信提供的用户身份标识,快速建立小程序内的用户体系. 登录流程时序 效果展示: 功能实现: 新建一个login页面 login.js: wx.getUserProfile用于获取用户信息 wx.getStorageSync()用于获取缓存,进入小程序时调用 wx.setStorageSync()用于保存缓存,保存登录信息,下次进入小程序自动登录 Page(

  • 使用spring oauth2框架获取当前登录用户信息的实现代码

    使用spring oauth2框架做授权鉴定.想获取当前用户信息怎么办? 我们知道spring oauth2是基于spring security的实现的. spring security可以通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前用户信息. 而spring oauth2通过SecurityContextHolder.getContext().getAuthentication().ge

  • Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码

    由于最近做项目需要,在用户登陆后有一个功能是需要用户的信息,进行写入数据库的操作.但是目前还用不到Shiro的高级权限,只为了简单获取用户信息,自己整合了一个只记录用户,获取用户信息的功能. 导入Shiro依赖 <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version

  • Spring Security 图片验证码功能的实例代码

    验证码逻辑 以前在项目中也做过验证码,生成验证码的代码网上有很多,也有一些第三方的jar包也可以生成漂亮的验证码.验证码逻辑很简单,就是在登录页放一个image标签,src指向一个controller,这个Controller返回把生成的图片以输出流返回给页面,生成图片的同时把图片上的文本放在session,登录的时候带过来输入的验证码,从session中取出,两者对比.这位老师讲的用Spring Security集成验证码,大体思路和我说的一样,但更加规范和通用些. spring securi

  • PHP通过微信跳转的Code参数获取用户的openid(关键代码)

    关键代码如下所示: //获取微信登录用户信息 function getOpenID($appid,$appsecret,$code){ $url="https://api.weixin.qq.com/sns/oauth2/access_token?appid=".$appid."&secret=". $appsecret."&code=".$code."&grant_type=authorization_code

  • PHP版微信第三方实现一键登录及获取用户信息的方法

    本文实例讲述了PHP版微信第三方实现一键登录及获取用户信息的方法.分享给大家供大家参考,具体如下: 注意,要使用微信在第三方网页登录是需要"服务号"才可以哦,所以必须到官方申请. 一开始你需要进入微信公众平台开启开发模式,并且填写oauth2的回调地址,地址填写你项目的域名就可以了.比如:www.baidu.com或zhidao.baidu.com.如果你的项目在二级域名就写二级域名 前端url授权地址,在url中填写appid与你项目中方法中的oauth的地址,具体在下面的代码中可以

  • 微信公众号-获取用户信息(网页授权获取)实现步骤

    根据微信公众号开发官方文档: 获取用户信息步骤如下: 1 第一步:用户同意授权,获取code 2 第二步:通过code换取网页授权access_token 3 第三步:刷新access_token(如果需要) 4 第四步:拉取用户信息(需scope为 snsapi_userinfo) 1 获取code 在确保微信公众账号拥有授权作用域(scope参数)的权限的前提下(服务号获得高级接口后,默认拥有scope参数中的snsapi_base和snsapi_userinfo),引导关注者打开如下页面:

随机推荐