為什么我使用“ request.getPrincipal()”來獲取經過身份驗證的用戶?
[英]Why I'm using “request.getPrincipal()” to get the authenticated user?
問題描述
這可能是一些“菜鳥”問題,但我在研究過程中找不到直接答案。
在使用JAVA Web項目(利用SSO)的情況下,有一些庫通過以下方式獲取登錄用戶:“ request.getUserPrincipal();”。
接收到此請求的數據令我感到震驚,因為這可能是強加的(我的第一個假設是請求來自Webclient /瀏覽器)。
但是檢查運行中的應用程序后,我看不到數據在請求中傳輸的位置(除了登錄頁面本身之外,當然還發送用戶名和密碼)。
因此,我假設服務器正在擴展請求,並將實際存儲在會話中的用戶信息放入(這是安全的),但是我找不到任何支持我的理論的清晰文檔。
因此,有人可以向我解釋或指出一些很好而直接的解釋嗎?
謝謝! 問候。
1 個解決方案
解決方案1
1 2015-07-07 13:31:22
HttpServletRequest#getUserPrincipal() JavaDoc說:
返回一個java.security.Principal對象,其中包含當前經過身份驗證的用戶的名稱。 如果用戶尚未通過身份驗證,則該方法返回null。
沒錯,它沒有直接說明此信息的來源。 實際上,身份驗證和相應的Principal對象可能來自不同的來源。
文檔定義了一個合同,如果存在當前身份驗證,則返回對象;如果不存在身份驗證,則返回null 。
通常,這可以與會話結合使用,但是很容易擁有不使用HttpSession但基於例如每個HTTP請求中都存在JWT令牌的SSO實現。
“請求的資源不支持http方法'GET'” - 但我沒有使用C#或asp.net,我是提出請求的人
[英]“The requested resource does not support http method 'GET'” - but I'm not using C# or asp.net, I'm the one making the request
對於經過身份驗證且未經過身份驗證的用戶,Spring Security會在休息服務中獲取用戶信息
[英]Spring Security get user info in rest service, for authenticated and not authenticated users
如何使用當前經過Google App Engine身份驗證的用戶從GAE發出http請求
[英]How can I use the current Google App Engine authenticated user to make a http request from GAE
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
getPrincipal() 方法返回匿名用戶
獲取經過身份驗證的用
經過身份驗證的POST / GET請求,用於Android
獲取經過身份驗證的用戶失敗的數據
“請求的資源不支持http方法'GET'” - 但我沒有使用C#或asp.net,我是提出請求的人
對於經過身份驗證且未經過身份驗證的用戶,Spring Security會在休息服務中獲取用戶信息
如何使用當前經過Google App Engine身份驗證的用戶從GAE發出http請求
獲取經過身份驗證的用戶instagram的個人資料網址
為什么使用 Azure 圖表 SDK 收到 400 錯誤請求?
獲取LDAP認證用戶的組名
相關標簽