繁体 English 中英

Spring security的SecurityContextHolder：会话或请求绑定？

[英]Spring security's SecurityContextHolder: session or request bound?

原文 2011-06-20 07:24:19 7 1 java/ spring/ java-ee/ spring-security

我从SecurityContextHolder检索的Userprincipal是绑定到请求还是会话？

UserPrincipal principal = (UserPrincipal) SecurityContextHolder.getContext().getAuthentication().getPrincipal();

这是我访问当前登录用户的方式。 如果当前会话被销毁，这会失效吗？

1 个解决方案

这取决于您如何配置它（或者说，您可以配置不同的行为）。

在Web应用程序中，您将使用与SecurityContextPersistenceFilter交互的ThreadLocalSecurityContextHolderStrategy 。

SecurityContextPersistenceFilter的Java Doc开头于：

使用在请求之前从配置的{@link SecurityContextRepository}获取的信息填充{@link SecurityContextHolder}，并在请求完成并清除上下文持有者后将其存储回存储库。 默认情况下，它使用{@link HttpSessionSecurityContextRepository}。 有关HttpSession相关配置选项的信息，请参阅此类。

顺便说一句：HttpSessionSecurityContextRepository是SecurityContextRepository的唯一实现（我在默认的libs中找到）

它的工作原理如下：

HttpSessionSecurityContextRepository使用httpSession（Key =“SPRING_SECURITY_CONTEXT”）来存储SecurityContext对象。
SecurityContextPersistenceFilter是一个过滤器，它使用SecurityContextRepository ，例如HttpSessionSecurityContextRepository来加载和存储SecurityContext对象。 如果HttpRequest通过过滤器，则过滤器从存储库获取SecurityContext并将其放入SecurityContextHolder（ SecurityContextHolder#setContext ）
SecurityContextHolder有两个方法setContext和getContext 。 两者都使用SecurityContextHolderStrategy来指定set-和get-Context方法中的确切操作。 - 例如， ThreadLocalSecurityContextHolderStrategy使用本地线程来存储上下文。

总而言之：用户主体（SecurityContext的元素）存储在HTTP会话中。 对于每个请求，它都放在您访问它的本地线程中。

Spring Security-何时清除SecurityContextHolder

[英]Spring Security - when to clear SecurityContextHolder

在Spring应用程序中使用SecurityContextHolder的security util

[英]security util using SecurityContextHolder in spring application

Spring Security AuthenticationCredentialsNotFoundException，SecurityContextHolder.getContext为null

[英]Spring Security AuthenticationCredentialsNotFoundException, SecurityContextHolder.getContext is null

Spring Security SecurityContextHolder.getContext（）。getAuthentication（）返回null

[英]Spring Security SecurityContextHolder.getContext().getAuthentication() returns null

SecurityContextHolder.getPrincipal() 在使用 Spring 安全验证后返回 AnonimousUser

[英]SecurityContextHolder.getPrincipal() returns AnonimousUser after authentication using Spring Security

Spring-Security：SecurityContextHolder未填充匿名令牌，因为它已经包含

[英]Spring-Security : SecurityContextHolder not populated with anonymous token, as it already contained

Spring Security Update 2.x至3.2.5 SecurityContextHolder问题

[英]Spring Security Update 2.x to 3.2.5 SecurityContextHolder issue

具有Spring Security的应用程序是否在其中共享SecurityContextHolder

[英]Do applications with spring security share SecurityContextHolder among them

会话 id 在 tomcat 中使用 spring SecurityContextHolder 为空

[英]session id coming as null in tomcat using spring SecurityContextHolder

spring-security：创建没有HTTP请求的会话？

[英]spring-security: create session without HTTP request?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Spring Security-何时清除SecurityContextHolder 在Spring应用程序中使用SecurityContextHolder的security util Spring Security AuthenticationCredentialsNotFoundException，SecurityContextHolder.getContext为null Spring Security SecurityContextHolder.getContext（）。getAuthentication（）返回null SecurityContextHolder.getPrincipal() 在使用 Spring 安全验证后返回 AnonimousUser Spring-Security：SecurityContextHolder未填充匿名令牌，因为它已经包含 Spring Security Update 2.x至3.2.5 SecurityContextHolder问题具有Spring Security的应用程序是否在其中共享SecurityContextHolder 会话 id 在 tomcat 中使用 spring SecurityContextHolder 为空 spring-security：创建没有HTTP请求的会话？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM