关于SpringSecurity Context 中获取和更改当前用户信息的问题
SpringSecurity Context 获取和更改用户信息的问题
SecurityContext 异步线程中获取用户信息
今天在做项目时遇到了一个问题,我需要获取当前用户的 ID。之前,前端并没有存储用户信息,我一直是在后端的 service 中通过 SecurityContext 来获取用户信息,这个方法之前一直有效。然而,今天在另一个 service 中调用时却无法获取到用户信息。
经过详细排查,发现 SecurityContext 的内容是与请求线程(如 HTTP 请求)绑定的。但我当前的 service 是用于处理 MQTT 消息,这属于异步线程。因此,在异步线程中无法从 SecurityContext 获取用户信息,只能另寻解决方案。
/**
* 处理接收到的设备数据,根据数据类型进行不同的处理。energy数据存储到数据库,其他数据通过WebSocket发送到前端展示。
* @param data 数据内容
*/
private void handleIncomingData(String data) {
......
/*
* 通过设备ID找到用户ID, 不能通过securityContext获取当前用户ID,因为这里是异步处理消息,不在请求线程中。
* 通过securityContext获取当前用户ID的方法只能在请求线程中使用,通常是与HTTP请求相关的操作才能获取到。
* 这里是MQTT消息处理,不在请求线程中,所以要通过其他方式获取当前用户ID。
* 还因为这里是存入数据库,因为也不能依赖物理设备的用户ID,设备不一定是存用户ID, 降低耦合性。
TODO: 这里是否可以改进?
*/
long userId = deviceMapper.findDeviceById(deviceId).getUserId();
if (userId<=0) {//如果userId<=0,说明没有找到对应的设备
logger.error("Failed to get user id by device id: {}", deviceId);
throw new RuntimeException("Failed to get user id by device id: " + deviceId);
}
Energy energy = new Energy();
energy.setDeviceId(deviceId);
energy.setEnergy(totalEnergy);
energy.setRecordDate(recordDate);
energy.setUserId(userId);
......
}SecurityContext 线程降级问题
在项目中遇到 SecurityContext 线程降级的问题,具体场景是用户修改个人资料(如邮箱)后,我希望 SecurityContext 中的用户信息能及时更新。然而,在修改邮箱后,用户需要跳转到邮箱验证码验证页面,该页面通过 security 配置中的 permitAll() 允许匿名访问。
这个配置导致一个问题:虽然用户已经登录认证,但在访问 /verify-code 页面时,SecurityContext 中的身份会被降级为匿名用户,进而导致更新后的信息没有在 SecurityContext 中及时反映。
我了解到可以通过 setAuthentication() 手动更新 SecurityContext,但尝试后依然无法解决问题,更新后的用户信息仍旧无法及时同步到 SecurityContext 中~
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.csrf(AbstractHttpConfigurer::disable) // disable csrf
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/login","/register","/verify-code","/forgot-password","/change-password").permitAll()// permit request without authentication
.requestMatchers("/ws/**").permitAll()// permit websocket request without authentication
.anyRequest().authenticated()
)
.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class)
.logout(AbstractHttpConfigurer::disable);// disable logout otherwise it will conflict with our custom logout
return http.build();
}到此这篇关于SpringSecurity Context 中 获取 和 更改 当前用户信息的问题的文章就介绍到这了,更多相关SpringSecurity Context 获取当前用户信息内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
关于Synchronized和ReentranLock的区别及说明
文章介绍了Java中的`synchronized`关键字和`ReentrantLock`类,两者都可以用于解决多线程同步问题,但`ReentrantLock`提供了更多的功能和灵活性2024-12-12
这篇文章主要介绍了详解SpringMVC注解功能及属性,文中通过详细的示例代码作了简要的分析,有需要的朋友可以借鉴参考下,希望可以有所帮助2021-09-09
在使用jmeter做接口测试的过程中大家是不是经常会遇到很多问题,本文就介绍了jmeter调试错误全集,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2021-11-11
下面小编就为大家带来一篇Java和C#输入输出流的方法(详解)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2016-10-10
这篇文章主要介绍了使用Lombok @Builder注解导致默认值无效的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-08-08
Idea中为一般的非Web项目打Jar包是有自己的方法的,下面这篇文章主要给大家介绍了关于IDEA+Maven打JAR包的两种方法,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2022-09-09
本文主要介绍了java使用监听器实现一个统计网站在线人数的示例,具有一定的参考价值,有需要的朋友可以了解一下。2016-10-10
封装是一个非常广泛的概念,小到一个属性的封装,大到一个框架或者一个项目的封装,下面这篇文章主要给大家介绍了关于java中封装的那点事,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2022-05-05
这篇文章主要介绍了Java Annotation注解相关原理代码总结,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-07-07
javascript与jsp发送请求到servlet的几种方式实例
本文分别给出了javascript发送请求到servlet的5种方式实例与 jsp发送请求到servlet的6种方式实例2018-03-03
最新评论