开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么spring安全上下文不能持久化经过身份验证的自定义用户？

Spring Security的安全上下文是基于线程的，它在每个请求处理过程中都会创建一个安全上下文对象，并将其绑定到当前线程上。这个安全上下文对象包含了当前用户的身份认证信息和权限等安全相关的信息。

然而，Spring Security的安全上下文默认是不支持持久化的，即在每个请求处理完毕后，安全上下文对象会被销毁。这是因为持久化安全上下文会引入一些潜在的安全风险和复杂性。

首先，持久化安全上下文可能会导致用户身份信息的泄露。如果安全上下文对象被持久化到数据库或其他存储介质中，那么用户的身份认证信息也会被存储下来。这样一来，如果存储介质被攻击者获取或者存在其他安全漏洞，用户的身份信息可能会被泄露，从而造成安全风险。

其次，持久化安全上下文会增加系统的复杂性。由于安全上下文对象包含了用户的身份认证信息和权限等敏感信息，需要确保存储和访问这些信息的安全性。这就需要额外的开发和维护工作，包括加密存储、访问控制、定期更新等。这些工作会增加系统的复杂性和开发成本。

因此，Spring Security默认选择了一种简单且安全的方式，即每个请求处理完毕后销毁安全上下文对象。这样可以确保用户的身份信息不会被持久化存储，减少了安全风险和系统复杂性。

如果确实有需要将安全上下文持久化，可以通过自定义实现来实现。可以自定义一个实现了SecurityContextRepository接口的类，用于将安全上下文对象存储到数据库或其他存储介质中，并在需要时进行读取和恢复。但是在实现过程中需要特别注意安全性和性能方面的考虑，确保用户的身份信息不会被泄露，并且不会影响系统的性能。

腾讯云相关产品和产品介绍链接地址：

腾讯云数据库：https://cloud.tencent.com/product/cdb
腾讯云服务器：https://cloud.tencent.com/product/cvm
腾讯云容器服务：https://cloud.tencent.com/product/tke
腾讯云人工智能：https://cloud.tencent.com/product/ai
腾讯云物联网：https://cloud.tencent.com/product/iot
腾讯云移动开发：https://cloud.tencent.com/product/mobdev
腾讯云对象存储：https://cloud.tencent.com/product/cos
腾讯云区块链：https://cloud.tencent.com/product/bc
腾讯云游戏多媒体：https://cloud.tencent.com/product/gme
腾讯云视频直播：https://cloud.tencent.com/product/live

相关搜索:为什么Spring不能实例化我的自定义ApplicationContext？如何使用Spring安全性从Spring Data JPA加载经过身份验证的用户的实体模型，以便在其他JPA存储库中使用？自定义用户的Spring安全身份验证失败 linux numastat linux能用的无线网卡驱动 rm删除怎么恢复 linux linux分割csv文件路径查看linux支持的编码格式在linux下查看redis linux 如何扩大分区大小

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

SpringSecurity6 | 核心过滤器

SecurityContextHolder 是 Spring Security 提供的一个持有安全上下文的地方，它使用 ThreadLocal 来确保在同一线程内安全上下文的传递。...允许在请求处理过程中访问安全上下文：一旦安全上下文与当前线程绑定成功，整个请求处理过程中的代码均可通过 SecurityContextHolder 来获取当前用户的安全信息，而无需显式地传递安全上下文。...，包括自定义的登录页面和允许所有用户访问登录页面。...处理身份验证结果：根据身份验证的结果，BasicAuthenticationFilter 会在安全上下文中设置相应的认证信息，并根据认证结果决定是否允许请求继续处理。...与其他安全组件的协作：RequestCacheAwareFilter 通常与其他安全组件（如身份验证过滤器、访问控制过滤器等）协同工作，确保在用户完成身份验证后能够正确地恢复原始的请求信息。

4553 1

深入了解 Spring Security 架构

通过了解 Spring Security 的组件及其工作原理，配置和实现我们自己的安全机制就变得很容易。...这些过滤器负责对用户及其访问资源的请求进行身份验证和授权。过滤器根据定义的内部规则检查每个请求的有效性。您可以使用自己的规则创建自定义过滤器。假设请求位于身份验证过滤器中。...> authentication); } Spring Security 上下文中可以有多个身份验证提供程序。每个身份验证提供者负责处理不同的身份验证机制。...最后，这个经过身份验证的对象由身份验证管理器存储在 spring security 上下文中，该上下文保存用户的身份验证信息。可以在整个应用程序中访问此信息。...，因此在整个身份验证过程中保护用户密码的安全非常重要。

2313 0

Apache NiFi中的JWT身份验证

NIFI最初的JWT实现 NiFi 1.14.0和更早版本的JSON Web令牌实现包括以下特性: 基于JJWT库使用随机UUID为每个经过身份验证的用户生成对称密钥在位于文件系统上的H2数据库中存储对称密钥...NiFi 1.14.0及之前版本使用java.util.UUID.randomUUID()为每个经过身份验证的用户生成唯一的对称密钥。...在成功交换凭证之后，NiFi用户界面使用Local Storage存储JWT进行持久访问。基于令牌寿命和跨浏览器实例的持久存储，用户界面维护一个经过身份验证的会话，而不需要额外的访问凭据请求。...基于这些原因，Web应用程序安全方面建议不要将任何敏感信息持久化到Local Storage。除了潜在的安全问题外，使用Local Storage还会在不同的浏览器实例中访问应用程序资源。...NiFi内容查看器等特性需要实现自定义的一次性密码身份验证策略，当浏览器试图加载高级用户界面扩展的资源时，也会导致访问问题。

3.9K2 0

SpringBoot零基础入门到项目实战——学习路线规划与目录结构

文章目录第一部分：Spring Boot基础第二部分：Web开发与RESTful API 第三部分：数据访问与持久化第四部分：安全与身份验证 第五部分：高级主题第六部分：测试总结与扩展实战项目练习...第一部分：Spring Boot基础导论 Spring Boot的背景和目标 为什么选择Spring Boot 环境搭建安装Java和Maven 创建第一个Spring Boot项目...自定义配置 Spring Boot Starter 了解Starter的概念和作用使用常见的Starters简化项目依赖配置第二部分：Web开发与RESTful API Spring MVC...数据传输与请求处理处理GET和POST请求接受和验证请求参数返回JSON格式的数据错误处理与异常处理全局异常 自定义异常处理第三部分：数据访问与持久化 Spring Data...第四部分：安全与身份验证 Spring Security基础配置基本的身份验证 控制访问权限 OAuth 2.0 集成OAuth 2.0进行身份验证 第五部分：高级主题缓存集成缓存

2841 0

微服务架构之Spring Boot（七十二）

如果存在Spring安全性，则默认使用Spring安全性内容协商策略来保护端点。...例如，如果您希望为HTTP端点配置自定义安全性，仅允许具有特定角色的用户访问它们，Spring Boot提供了一些方便的 RequestMatcher 对象，可以与Spring安全性结合使用。...management.endpoints.web.exposure.include=* 此外，如果存在Spring安全性，则需要添加自定义安全性配置，以允许对端点进行未经身份验证的访问，如以下示例所示：... 用于唯一标识正在配置的端点。在进行经过身份验证的HTTP请求时， Principal 被视为端点的输入，因此不会缓存响应。...配置自定义管理上下文路径后，“发现页面”会自动从 /actuator 移动到管理上下文的根目录。例如，如果管理上下文路径为 /management ，则可以从 /management 获取发现页面。

1.2K1 0

「Spring」认证安全架构指南

使用的AuthenticationManager层次结构ProviderManager自定义身份验证管理器Spring Security 提供了一些配置助手来快速获取应用程序中设置的常见身份验证管理器功能...没有自定义安全配置的普通 Spring Boot 应用程序有几个（称为 n）过滤器链，其中通常 n=6。...将 Web 安全性和方法安全性结合起来并不少见。过滤器链提供用户体验功能，例如身份验证和重定向到登录页面等，方法安全性提供更细粒度的保护。...使用线程Spring Security 基本上是线程绑定的，因为它需要使当前经过身份验证的主体可用于各种下游消费者。...如果您需要访问 Web 端点中当前经过身份验证的用户，可以在 a 中使用方法参数@RequestMapping，如下所示：@RequestMapping("/foo")public String foo

9243 0

为什么选择 Spring 作为 Java 框架？

在我们的前一篇文章中详细讨论了如何使用 Spring REST 控制器。 4.4. 安全所以现在我们已经定义了所有内容，但是如何保护创建或删除员工之类的操作呢？...我们不希望对这些端点进行未经身份验证的访问！...Spring 为我们提供了必要的基础设施来编写简单的单元和集成测试，否则这些测试将依赖于要初始化和配置的 Spring 上下文。...如果我们对当代 Java 框架做一个快速评估，它们甚至不能与 Spring 提供给我们的生态系统相提并论。...为什么选择 Spring？最后，我们构建了所有必需的上下文来解决我们的核心问题，为什么是 Spring？我们了解框架可以帮助我们开发复杂的企业应用程序的方式。

7272 0

为什么选择 Spring 作为 Java 框架？

在我们的前一篇文章中详细讨论了如何使用 Spring REST 控制器。 4.4. 安全所以现在我们已经定义了所有内容，但是如何保护创建或删除员工之类的操作呢？...我们不希望对这些端点进行未经身份验证的访问！...Spring 为我们提供了必要的基础设施来编写简单的单元和集成测试，否则这些测试将依赖于要初始化和配置的 Spring 上下文。...如果我们对当代 Java 框架做一个快速评估，它们甚至不能与 Spring 提供给我们的生态系统相提并论。...为什么选择 Spring？最后，我们构建了所有必需的上下文来解决我们的核心问题，为什么是 Spring？我们了解框架可以帮助我们开发复杂的企业应用程序的方式。

6492 0

Spring认证-Spring 安全架构专题教程

图 1.AuthenticationManager使用的层次结构ProviderManager自定义身份验证管理器 Spring Security 提供了一些配置助手来快速获取在您的应用程序中设置的常见身份验证管理器功能...没有自定义安全配置的 vanilla Spring Boot 应用程序有多个（称为 n 个）过滤器链，其中通常 n=6。...提示将 Web 安全性和方法安全性结合起来的情况并不少见。过滤器链提供用户体验功能，例如身份验证和重定向到登录页面等，方法安全提供更细粒度的保护。...使用线程 Spring Security 基本上是线程绑定的，因为它需要使当前经过身份验证的主体可用于各种下游消费者。...如果您需要访问 Web 端点中当前经过身份验证的用户，您可以在 a 中使用方法参数@RequestMapping，如下所示： @RequestMapping("/foo") public String

6842 0

为什么选择 Spring 作为 Java 框架？

在我们的前一篇文章中详细讨论了如何使用 Spring REST 控制器。 4.4. 安全所以现在我们已经定义了所有内容，但是如何保护创建或删除员工之类的操作呢？...我们不希望对这些端点进行未经身份验证的访问！...Spring 为我们提供了必要的基础设施来编写简单的单元和集成测试，否则这些测试将依赖于要初始化和配置的 Spring 上下文。...如果我们对当代 Java 框架做一个快速评估，它们甚至不能与 Spring 提供给我们的生态系统相提并论。...为什么选择 Spring？最后，我们构建了所有必需的上下文来解决我们的核心问题，为什么是 Spring？我们了解框架可以帮助我们开发复杂的企业应用程序的方式。

8912 0

Spring Security OAuth 2开发者指南

客户端的详细信息可以初始化，也可以参考现有的存储。 AuthorizationServerSecurityConfigurer：定义令牌端点上的安全约束。...注意，授权端点/oauth/authorize（或其映射替代方案）应该使用Spring Security进行保护，以便只有经过身份验证的用户才能访问。...在这两种情况下，安全通道设置是可选的，但是如果Spring Security在不安全的通道上检测到请求，则会导致Spring Security重定向到安全通道。...在客户端中持久化令牌客户端不需要持久化令牌，但是每次重新启动客户端应用程序时，用户都不需要批准新的令牌授权，这是很好的。...提供了一个JDBC实现，但如果您希望实现自己的服务来将持久性数据库中的访问令牌和关联的身份验证实例存储起来，那么您可以使用。

1.9K2 0

Spring Security OAuth 2开发者指南译

默认情况下，它将通过随机值创建令牌，并处理除代表它的令牌持久化之外的所有内容TokenStore。默认存储是内存中的实现，但还有一些其他可用的实现。...注意，授权端点/oauth/authorize（或其映射替代方案）应使用Spring Security进行保护，以便只有经过身份验证的用户才能访问。...在这两种情况下，安全通道设置是可选的，但是如果Spring Security在不安全的通道上检测到请求，则会导致Spring Security重定向到安全通道。...在客户端中持久化令牌客户端并不需要坚持令牌，但它可以很好的为不要求用户每次在客户端应用程序重新启动时批准新的代金券授予。...提供了一个JDBC实现，但如果您希望实现自己的服务来将持久性数据库中的访问令牌和关联的身份验证实例存储起来，那么您可以使用。

2.1K1 0

【SpringSecurity】Spring Security 和Shiro对比

相比与另外一个安全框架Shiro，它提供了更丰富的功能，社区资源也比Shiro丰富； Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。...与所有Spring项目一样，Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。...认证（Authentication）：验证当前访问系统的是不是本系统的用户，并且要确认具体是哪个用户授权（Authorization）：经过认证后判断当前用户是否有权限进行某个操作而认证和授权就是SpringSecurity...2.2、Spring Security 除了不能脱离Spring，shiro的功能它都有。...（安全上下文容器，类似Session）中去。

1943 0

Spring Security 系列(1)

Spring Security 的架构 Spring Security 的使用引入 Spring Security 添加密码加密器配置安全策略登陆成功的处理与配置通过权限控制访问进行 Token...配置使用自定义的 UserDetailsService 使用自定义的 AuthenticationEntryPoint Spring Security 自带的 AuthenticationEntryPoint...什么是 Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。...它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入...SecurityContext - 从 SecurityContextHolder 获取，包含当前经过身份验证的用户的身份验证。

9592 0

不掌握这些内置Filter 你就学不会 Spring Security

内置过滤器初始化在 Spring Security 初始化核心过滤器时 HttpSecurity 会通过将 Spring Security 内置的一些过滤器以 FilterComparator 提供的规则进行比较按照比较结果进行排序注册...用来处理异步请求的安全上下文。具体逻辑为：从请求属性上获取所绑定的WebAsyncManager，如果尚未绑定，先做绑定。...请求来临时，创建SecurityContext 安全上下文信息，请求结束时清空 SecurityContextHolder。...3.12 AbstractPreAuthenticatedProcessingFilter AbstractPreAuthenticatedProcessingFilter 处理处理经过预先认证的身份验证请求的过滤器的基类...我们在 Spring Security 实战干货：玩转自定义登录已经对其进行过个性化的配置和魔改。

4.1K4 0

深度解析 Spring Security：身份验证、授权、OAuth2 和 JWT 身份验证的完整指南

身份验证 Spring Security 是一个用于保护基于 Java 的应用程序的框架。其中一个核心功能是身份验证，即验证用户是否是其声称的用户的过程。...Spring Security 提供了广泛的选项来实现身份验证，包括支持传统的用户名/密码身份验证，以及更现代的替代方案，例如 OAuth 和 JSON Web Tokens（JWT）。...授权 Spring Security 支持多种身份验证机制，例如用户名和密码验证、 OAuth2 等。一旦用户通过验证， Spring Security 可以用于授权用户访问特定的资源或功能。...该过滤器将检查请求头中包含的 JWT，如果有效，则会在安全上下文中设置身份验证信息。然后，您可以使用安全上下文对 API 终点执行授权检查。...它们提供了各种功能，如安全性、数据访问和 Web 服务，并帮助您最小化需要编写的样板代码和配置。

2031 0

如何在微服务架构中实现安全性？

图2　当 FTGO 应用程序的客户端发出登录请求时，登录处理程序会对用户进行身份验证，初始化会话用户信息，并返回会话令牌 cookie，以便安全地识别会话。...请求处理程序（如OrderDetailsRequestHandler）从安全上下文中检索用户信息使用安全框架正确实现身份验证和访问授权具有挑战性。最好使用经过验证的安全框架。...Spring Security 框架使用标准的 Java EE 方法将安全上下文存储在静态的线程局部变量中，任何被调用以处理请求的代码都可以访问该变量。...拦截器通过验证会话令牌来验证每个请求并建立安全上下文。安全上下文描述了主体及其角色。 6．请求处理程序使用安全上下文来获取其身份，并借此确定是否允许用户执行请求的操作。...为了在微服务架构中实现安全性，我们需要确定谁负责验证用户身份以及谁负责访问授权。在微服务应用程序中实现安全性的一个挑战是我们不能仅仅从单体应用程序借鉴设计思路。

4.7K3 0

微服务架构如何保证安全性？

图2　当 FTGO 应用程序的客户端发出登录请求时，登录处理程序会对用户进行身份验证，初始化会话用户信息，并返回会话令牌 cookie，以便安全地识别会话。...请求处理程序（如OrderDetailsRequestHandler）从安全上下文中检索用户信息使用安全框架正确实现身份验证和访问授权具有挑战性。最好使用经过验证的安全框架。...实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...Spring Security 框架使用标准的 Java EE 方法将安全上下文存储在静态的线程局部变量中，任何被调用以处理请求的代码都可以访问该变量。...拦截器通过验证会话令牌来验证每个请求并建立安全上下文。安全上下文描述了主体及其角色。 6．请求处理程序使用安全上下文来获取其身份，并借此确定是否允许用户执行请求的操作。

5K4 0

如何在微服务架构中实现安全性？

图 2　当 FTGO 应用程序的客户端发出登录请求时，登录处理程序会对用户进行身份验证，初始化会话用户信息，并返回会话令牌 cookie，以便安全地识别会话。...请求处理程序（如 OrderDetailsRequestHandler）从安全上下文中检索用户信息使用安全框架正确实现身份验证和访问授权具有挑战性。最好使用经过验证的安全框架。...实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...Spring Security 框架使用标准的 Java EE 方法将安全上下文存储在静态的线程局部变量中，任何被调用以处理请求的代码都可以访问该变量。...拦截器通过验证会话令牌来验证每个请求并建立安全上下文。安全上下文描述了主体及其角色。请求处理程序使用安全上下文来获取其身份，并借此确定是否允许用户执行请求的操作。

4.5K4 0

Spring Security初识和表单认证（一）

◎ Form-based authentication:用于简单的用户界面需求。 ◎ OpenID authentication:一种去中心化的身份认证方式。...◎ Authentication based on pre-established request headers:类似于 Computer Associates SiteMinder，一种用户身份验证及授权的集中式安全基础方案...◎ Anonymous authentication:允许匿名用户使用特定的身份安全访问资源。 ◎ Run-as authentication:允许在一个会话中变换用户身份的机制。...，要求在经过HTTP基本认证后才能访问对应的URL资源，其默认使用的用户名user，密码则是动态生成并打印到控制台的一串随机码。...spring.security.user.name=1 spring.security.user.password=1 重新启动程序，发现控制台不再打印默认密码串了，此时使用我们自定义的用户名和密码即可登录

9262 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭