开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在Spring中,如何获得其凭据不属于当前http请求的当前用户？

在Spring中，可以通过SecurityContextHolder来获取不属于当前HTTP请求的当前用户的凭据。SecurityContextHolder是Spring Security提供的一个上下文对象，用于存储当前用户的安全上下文信息。

要获得不属于当前HTTP请求的当前用户的凭据，可以使用SecurityContextHolder.getContext().getAuthentication()方法。该方法返回一个Authentication对象，包含了当前用户的认证信息。

下面是一个示例代码：

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

public class YourClass {
    public void yourMethod() {
        // 获取当前用户的凭据
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        
        // 判断当前用户是否已认证
        if (authentication.isAuthenticated()) {
            // 获取当前用户的用户名
            String username = authentication.getName();
            
            // 获取当前用户的权限列表
            List<GrantedAuthority> authorities = (List<GrantedAuthority>) authentication.getAuthorities();
            
            // 其他操作...
        }
    }
}

在上述代码中，通过SecurityContextHolder.getContext().getAuthentication()方法可以获取当前用户的Authentication对象。然后可以通过该对象获取当前用户的用户名、权限列表等信息，进行相应的操作。

关于Spring Security的更多信息，可以参考腾讯云的产品介绍：Spring Security。

相关搜索:Django -有没有办法在我的项目的signals.py文件中获得当前登录的用户？在django中，如何获取当前用户的用户名并将其分配给表单中的某个字段？在Jenkins Pipeline脚本中获取当前用户的凭据在Magento 2 Rest API中收到令牌后，如何获取当前已签名的用户信息在Python Flask中，如何根据当前登录的用户获取角色名称？在python中，如何在Windows中获取当前用户的SID？在Spring Boot with JPA中，如何配置我的应用程序，使日期列自动填充其创建的当前时间？在Spring MVC的请求映射中，我如何总是返回用户所在的当前页面？在部署的Spring Boot应用程序中，http请求是如何工作的？如何使用C++在OSX中获取当前用户的区域设置

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security 系列(1)

SecurityContext - 从 SecurityContextHolder 获取，包含当前经过身份验证的用户的身份验证。...Authentication - 可以是 AuthenticationManager 的输入，以提供用户提供的用于身份验证的凭据（Token），也可以是 SecurityContext 中的当前用户。...中包含各种各样的 filter 登陆成功流程大致如下图当用户提交他们的凭据时， AbstractAuthenticationProcessingFilter 将从被验证的 HttpServletRequest...它在用户请求处理过程中遇到认证异常时，被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。...当用户成功认证后，RequestCache用于重放原始请求。 AuthenticationEntryPoint用于从客户端请求凭据。

9592 0

如何在微服务架构中实现安全性？

客户在向FTGO 应用程序发出的每个后续请求中都会包括会话令牌当用户使用其用户ID和密码登录时，客户端会向FTGO应用程序发出包含用户凭据的POST 请求。...FTGO 应用程序的会话令牌是一个名为JSESSIONID的HTTP cookie。实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...例如，许多应用程序都有 API 客户端，可以在每个请求中提供其凭据，例如 API 密钥和私钥。因此，无须维护服务器端会话。或者，应用程序可以将会话状态存储在会话令牌中。...但我们要避免在服务中处理多种不同的身份验证机制。更好的方法是让API Gateway在将请求转发给服务之前对其进行身份验证。...服务验证令牌的签名，并提取有关用户的信息，包括其身份和角色图4 所示的事件顺序如下： 1．客户端发出请求，使用基本身份验证提供它的凭据。 2．

4.7K3 0

SpringSecurity学习

Authentication - 可以作为输入 AuthenticationManager提供用户提供的凭据以进行身份验证或来自当前用户 SecurityContext....GrantedAuthority - 在 Authentication（即角色、范围等） AuthenticationManager - 定义 Spring Security 的过滤器如何执行身份验证的...Spring Security 并不关心如何 SecurityContextHolder被填充。如果它包含一个值，则将其用作当前经过身份验证的用户。...表示当前经过身份验证的用户。您可以获得当前 Authentication从 SecurityContext 。这 Authentication包含： principal: 标识用户。...，发送用户名和密码到服务器，通过过滤器，到UserDetailService的实现类中，通过用户名判断是否存在当前用户，存在当前用户同时将当前用户的角色和信息封装到一个UserDtailsService

6602 0

如何在微服务架构中实现安全性？

客户在向 FTGO 应用程序发出的每个后续请求中都会包括会话令牌当用户使用其用户 ID 和密码登录时，客户端会向 FTGO 应用程序发出包含用户凭据的 POST 请求。...实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...例如，许多应用程序都有 API 客户端，可以在每个请求中提供其凭据，例如 API 密钥和私钥。因此，无须维护服务器端会话。或者，应用程序可以将会话状态存储在会话令牌中。...但我们要避免在服务中处理多种不同的身份验证机制。更好的方法是让 API Gateway 在将请求转发给服务之前对其进行身份验证。...服务验证令牌的签名，并提取有关用户的信息，包括其身份和角色图 4 所示的事件顺序如下：客户端发出请求，使用基本身份验证提供它的凭据。

4.5K4 0

微服务架构如何保证安全性？

客户在向FTGO 应用程序发出的每个后续请求中都会包括会话令牌当用户使用其用户ID和密码登录时，客户端会向FTGO应用程序发出包含用户凭据的POST 请求。...实现安全性的另一个关键是安全上下文，它存储有关发出当前请求的用户的信息。...例如，许多应用程序都有 API 客户端，可以在每个请求中提供其凭据，例如 API 密钥和私钥。因此，无须维护服务器端会话。或者，应用程序可以将会话状态存储在会话令牌中。...但我们要避免在服务中处理多种不同的身份验证机制。更好的方法是让API Gateway在将请求转发给服务之前对其进行身份验证。...服务验证令牌的签名，并提取有关用户的信息，包括其身份和角色图4 所示的事件顺序如下： 1、客户端发出请求，使用基本身份验证提供它的凭据。

5K4 0

与我一起学习微服务架构设计模式11—开发面向生产环境的微服务应用

安全架构的关键部分是会话（存储主体的ID和角色）、安全上下文(存储有关发出当前请求的用户的信息) 缺点：使用内存中会话，必须把特定会话的所有请求路由到同一个应用程序实例。这使负载均衡和操作变得复杂。...避免方法：将会话存储在数据库，或者不保存服务器端会话，而在每个请求中提供其凭据，或者将会话状态存储在会话令牌中。在微服务架构中实现安全性单体安全架构的一些方面对微服务架构来说是不可用的。...但你也可以将其用于应用程序中的身份验证和访问授权。如何验证API客户端：客户端发出请求，使用凭据，API Gateway通过向OAuth2.0身份验证服务器发出请求来验证API客户端。...服务验证令牌的签名，并提取有关用户的信息，包括其身份和角色。支持基于登陆的客户端：客户端通过其凭据发送到API Gateway来登录。...命令行参数 SPRING_APPLICATION_JSON JVM系统属性操作系统环境变量当前目录中的配置文件来自此列表的靠前的来源的特定属性值将覆盖此列表稍后的来源中的相同属性。

1.9K1 0

Spring Security OAuth 2开发者指南译

授权服务器配置在配置授权服务器时，必须考虑客户端用于从最终用户获取访问令牌（例如授权代码，用户凭据，刷新令牌）的授权类型。...授权代码由OAuth客户端通过将最终用户指向用户可以输入其凭据的授权页面获得，导致从提供商授权服务器重定向到具有授权码的OAuth客户端。这在OAuth 2规范中有详细说明。...默认情况下，通过Spring OAuth在@Configuration使用客户机密码的HTTP Basic认证的支持中为您保护令牌端点。在XML中不是这样（因此应该明确保护）。...注意：不要忘记在您为用户呈现的表单中包含CSRF保护。默认情况下，Spring Security正期待一个名为“_csrf”的请求参数（它在请求属性中提供值）。...这两个端点受到使用客户端凭据的HTTP基本身份验证的保护。配置OAuth感知表达式处理程序您可能希望利用Spring Security 基于表达式的访问控制。

2.1K1 0

详解SpringSecurity认证

应测试异常，如果适用，应按上述顺序抛出（即，如果帐户被禁用或锁定，则身份验证请求将立即被拒绝，并且不执行凭据测试过程）。这可以防止针对已禁用或锁定的帐户测试凭据。...SecurityContextHolder 中的数据保存默认是通过ThreadLocal 来实现的，使用 ThreadLocal 创建的变量只能被当前线程访问，不能被其他线程访问和修改，也就是用户数据和请求线程绑定在一起...释放线程好处：方便用户在 Controller、Service 层以及任何代码中获取当前登录用户数据以上就是在安全认证时，最重要的几个接口认证实现依赖 web和security依赖...SecurityContextHolder 中的数据保存默认是通过ThreadLocal 来实现的，使用 ThreadLocal 创建的变量只能被当前线程访问，不能被其他线程访问和修改，也就是用户数据和请求线程绑定在一起...以后每当有请求到来时，Spring Security 就会先从 Session 中取出用户登录数据，保存到SecurityContextHolder 中，方便在该请求的后续处理过程中使用，同时在请求结束时将

931 0

HTML注入综合指南

还是这种结构本身成为Web应用程序损坏的原因？今天，在本文中，我们将学习如何**配置错误的HTML代码**，为攻击者从用户那里获取**敏感数据**。表中的内容什么是HTML？...现在，让我们深入研究不同的HTML注入攻击，并查看异常方式如何破坏网页并捕获受害者的凭据。...**存储HTML**的最常见示例是博客中的**“评论选项”**，它允许任何用户以管理员或其他用户的评论形式输入其反馈。现在，让我们尝试利用此存储的HTML漏洞并获取一些凭据。...[图片] 从上面的图像中，您可以看到用户**“ Raj”**打开了网页，并尝试以**raj：123的**身份登录内部**。** 因此，让我们回到**侦听器**并检查是否在响应中捕获了凭据。...获得编码输出后，我们将再次在**URL**的**“编码为”中对其**进行设置，以使其获得**双URL编码**格式。

3.7K5 2

全面介绍SSO（单点登录）

用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。...我们还有一个系统域名为javaWeb.com，当我们访问inside-javaWeb的时候，我们没有Cookie，那么请求跳转到中间系统jump。此时需要将当前域名带到参数中便于jump校验。...jump系统在收到了xulingbo域下的Cookie之后，取出xulingbo域下的Cookie，并redirect请求jump.inside-javaWeb.net,这个接口也是在jump系统中，请求后...这样就能保证当前浏览器在站点1的域名下，有站点1的Cookie，同时当前浏览器也有CAS Server的Cookie。...B步骤中，客户端发出的HTTP请求，包含以下参数： -grant_type：表示授权类型，此处的值固定为"password"，必选项。 -username：表示用户名，必选项。

3.3K2 0

Spring Security OAuth 2开发者指南

授权代码由OAuth客户端通过将最终用户指向用户可以输入其凭据的授权页面获得，导致从提供商授权服务器重定向到具有授权码的OAuth客户端。这在OAuth 2规范中有详细阐述。...默认情况下，通过Spring OAuth在@Configuration使用客户机密码的HTTP Basic认证的支持中为您保护令牌端点。在XML中不是这样（所以应该明确保护）。...在/oauth/confirm_access端点中，您可以期望AuthorizationRequest绑定到会话中，携带所有需要从用户获得批准的数据（默认实现是WhitelabelApprovalEndpoint...注意：不要忘记在您为用户呈现的表单中包含CSRF保护。Spring Security预期默认使用一个名为“_csrf”的请求参数（它在请求属性中提供值）。...这两个端点受到使用客户端凭据的HTTP基本身份验证的保护。配置OAuth感知表达式处理程序您可能希望利用Spring Security 基于表达式的访问控制。

1.9K2 0

8种至关重要OAuth API授权流与能力

客户端接收到此代码，现在可以在浏览器之外的经过身份验证的后端调用中使用它，并将其交换为令牌。这里要提到的一件事是，用户将只向OAuth服务器提供其凭据。...在第三方网站或者应用中放置“QQ登陆按钮”，然后在用户点击后会向服务器发出请求获取ACCESS_TOKEN，这个请求中只会附加用户的APPID。...为了得到一个存取令牌，客户端只需将其凭据传递给OAuth服务器并接收令牌即可。此流中不发出刷新令牌，因为客户端无论如何都可以使用其凭据检索新的访问令牌。...注册令牌可以通过多种方式获得。可以让用户在隐式流中自行验证，也可以基于预先分发的秘钥使用客户端凭据流。...则对这一刷新令牌X的撤销操作不会有任何后续效果。参见http://t.cn/Ewtcr8X 五、为什么区分OAuth流很重要在OAuth中似乎有很多类似的流，但是每个流都有其特定的用例。

1.6K1 0

OAuth2.0认证流程是如何实现的？

在接下来的内容中，码农哥会先给大家具体介绍下OAuth2.0的基本原理，然后再通过Spring Boot实现一套遵循OAuth2.0规范的SSO单点登录系统！...什么是OAuth2.0OAuth2.0是一种允许第三方应用程序使用资源所有者的凭据获得对资源有限访问权限的一种授权协议。...微信会验证用户身份信息的正确性，如正确，则认为用户确认授权微信登录豆瓣网，此时会先生成一个临时凭证，并携带此凭证通过用户浏览器将请求重定向回豆瓣网在第一次重定向时携带的callBackUrl地址；之后用户浏览器会携带临时凭证...code访问豆瓣网服务，豆瓣网则通过此临时凭证再次调用微信授权接口，获取正式的访问凭据access_token；在豆瓣网获取到微信授权访问凭据access_token后，此时用户的授权基本上就完成了，...而关于客户端如何获得授权的问题，在OAuth2.0中定义了四种授权方式，目前微信授权登录使用的是其中一种比较常用的模式authorization_code模式。

1.9K3 0

Spring Boot 与 OAuth2

（这就是单点登录）如果你正在做示例应用程序的这一部分，请务必清除你的Cookie和HTTP Basic凭据的浏览器缓存。在Chrome中，最好在访问每个服务器主业的时候打开一个新的隐身窗口。...添加登出按钮在本节中,我们修改了应用通过添加一个按钮,允许用户退出程序。这似乎是一个简单的功能,但实际上需要仔细考虑它的实现,所以它值得花一些时间讨论如何去做。...点击“注销”按钮取消当前会话，并将应用程序返回到未认证状态。如果你足够细心，你应该能够在浏览器与本地服务器交换的请求中看到新的cookie和请求头。...现在，这个应用可以运行了，而且用户可以选择用Facebook登陆，或者Github登陆如何添加本地用户数据库即使身份验证被委托给外部提供者，许多应用程序也需要在本地保存其用户的数据。...2 明确排除主页和登录端点3 所有其他端点都需要经过身份验证的用户4 未经身份验证的用户将重新定向到主页如何获取访问令牌现在可以从我们的新授权服务器获得访问令牌。

10.6K12 0

使用 Spring Security 进行基本的 HTTP 认证和授权（一）

在本文中，我们将演示如何使用 Spring Security 实现基本的 HTTP 认证和授权。HTTP 认证HTTP 认证是一种基于 HTTP 协议的身份验证机制，用于验证用户的身份。...HTTP 认证使用 HTTP 协议中的 Authorization 头来传递用户凭据。Spring Security 提供了多种 HTTP 认证机制，例如基本认证、摘要认证、OAuth2 等。...在本文中，我们将演示如何使用基本认证。基本认证基本认证是最简单的 HTTP 认证机制之一。基本认证的原理很简单：客户端发送一个包含用户名和密码的 HTTP 请求，服务器验证用户名和密码是否正确。...要使用基本认证，需要在 Spring Security 配置文件中配置一个基本认证过滤器。基本认证过滤器使用 AuthenticationManager 来验证用户凭据。...在实际的应用程序中，应该使用安全的密码加密算法来加密密码。接下来，我们使用 authorizeRequests 方法来配置授权规则。在这个例子中，我们允许任何请求都需要进行身份验证。

7725 0

开源认证授权管理平台Keycloak初体验

总体思路因为事先已经知道Keycloak提供了Spring Security的适配器。先独立把Keycloak的核心概念弄清楚，然后再去研究它如何结合Spring Security的。...他们可以拥有与自己相关的属性，例如电子邮件、用户名、地址、电话号码和生日。可以为他们分配组成员身份并为其分配特定的角色。Keycloak中的User都有他们从属的realm。...然后注销当前用户admin并到http://localhost:8011/auth/realms/felord.cn/account以刚创建的用户felord的身份登录到felord.cn域。...groups 用户组，你可以将一系列的角色赋予定义好的用户组，一旦某用户属于该用户组，那么该用户将获得对应组的所有角色权限。 clients 客户端。...这个类似Spring Security中的AuthenticationProvider接口。 ❝还有一些概念等遇到了会再补充，有点多，先消化消化。

4.6K3 0

内网渗透 | 了解和防御Mimikatz抓取密码的原理

在较高级别上，客户端请求访问某些内容，身份验证服务器向客户端提出质询，客户端通过使用从密码派生的密钥对其响应进行加密来响应质询。...如果恶意用户可以访问端点并能够运行像 Mimikatz 这样的工具，他们不仅可以获得当前存储在内存中的哈希值，而且还可以获得帐户的明文密码。...默认情况下，HTTP Server API 缓存在 KA 连接上发送的第一个请求中获得的凭据。客户端可以在没有授权头的情况下在 KA 连接上发送后续请求，并根据之前建立的上下文获取身份验证。...在这种情况下，HTTP Server API 将基于缓存凭据的令牌发送到应用程序。代理发送的请求的凭据不会被缓存。...其中1、2、5三点在之前都已经提到过这里就不继续延伸了，这里主要说一下3、4两点首先是第3点，在注销后删除LSASS中的凭据，在更新之前，只要用户登录系统，Windows就会在lsass中缓存用户的凭据

6.5K1 0

Spring Security 实战干货：UsernamePasswordAuthenticationFilter 源码分析

前言欢迎阅读 Spring Security 实战干货系列文章，在集成Spring Security安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了，尤其是Http登录认证。...它的作用是拦截登录请求并获取账号和密码，然后把账号密码封装到认证凭据UsernamePasswordAuthenticationToken中，然后把凭据交给特定配置的AuthenticationManager...; // 默认只支持 POST 请求 private boolean postOnly = true; // 初始化一个用户密码认证过滤器默认的登录uri 是 /login 请求方式是...登录请求参数的格式定制化，比如可以使用JSON格式提交甚至几种并存。如何将用户名和密码封装入凭据UsernamePasswordAuthenticationToken，定制业务场景需要的特殊凭据。...我们会有什么疑问 AuthenticationManager从哪儿来，它又是什么，它是如何对凭据进行认证的，认证成功的后续细节是什么，认证失败的后续细节是什么。

1.7K6 1

微服务架构 | 服务之间跨域问题怎么解决？

一、背景 ---- 当前微服务拆分已经成为趋势，大部分公司都对其软件产品做微服务架构调整。对产品先进行业务、模块拆分，大部分也进行前后端分离的业务调整。...resolvedMethods 允许头访问列表 allowedHeaders 允许的请求头 exposedHeaders 拓展请求头 allowCredentials 允许凭据基础CorsConfiguration...* exposedHeaders 拓展请求头 * allowCredentials 允许凭据 **/ return configuration; } ▐...记得先前在分析《怎样在输出日志中加入traceId 进行链路追踪》和《如何保证各个微服务之间调用的安全性?》对个服务之间RPC调用请求线程变量传递问题。...在上几篇文章中已逐步分析，解决微服务跨域问题主要分三步走基于Spring-web 中 CorsConfiguration 重新定义CorsConfig 配置信息基于Spring-web 中 CorsFilter

1.1K2 0

单点登录与授权登录业务指南

零信任的基本挑战是创建一个安全架构，打击渗透网络的攻击者，而不会阻碍获得授权的最终用户在网络中自由行动并完成工作或业务。...SSO在零信任中的角色单点登录（SSO）在零信任模型中扮演重要角色，因为它是身份和访问管理（IAM）的一部分：简化登录：SSO允许用户使用一组凭据（如用户名和密码）登录多个相关的服务或应用。...客户端和服务器端的同步：为了保持会话的一致性，客户端（如浏览器）和服务器端的会话信息需要同步。这通常通过HTTP请求和响应中的Cookie和头信息来实现。...用户在系统1中点击注销按钮。系统1发起注销请求至SSO认证中心：系统1使用用户的会话ID来识别用户，并将这个信息作为注销请求发送到SSO认证中心。...处理注销请求：当用户在子系统中请求注销时，sso-client会将注销请求发送到sso-server。

6952 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭