如何获取活跃用户的 UserDetails

小编典典

如何获取活跃用户的 UserDetails

all

在我的控制器中，当我需要活动（登录）用户时，我正在执行以下操作来获得我的UserDetails实现：

User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
log.debug(activeUser.getSomeCustomField());

它工作得很好，但我认为 Spring 在这种情况下可以让生活更轻松。有没有办法将UserDetails自动连接到控制器或方法中？

例如，类似：

public ModelAndView someRequestHandler(Principal principal) { ... }

但是UsernamePasswordAuthenticationToken我没有得到，而是得到了 a UserDetails？

我正在寻找一个优雅的解决方案。有任何想法吗？

阅读 116

2022-08-24

共1个答案

小编典典

序言：@AuthenticationPrincipal自 Spring-Security 3.2
以来，此答案的末尾描述了一个很好的注释。当您使用 Spring-Security >= 3.2 时，这是最好的方法。

当你：

使用旧版本的 Spring-Security，
需要通过存储在主体中的一些信息（如登录名或 ID）从数据库中加载您的自定义用户对象
想了解 a HandlerMethodArgumentResolveror如何WebArgumentResolver以优雅的方式解决这个问题，或者只是想了解 and 背后的背景@AuthenticationPrincipal（AuthenticationPrincipalArgumentResolver因为它基于 a HandlerMethodArgumentResolver）

然后你可以在你的控制器中使用

public ModelAndView someRequestHandler(Principal principal) {
   User activeUser = (User) ((Authentication) principal).getPrincipal();
   ...
}

如果你需要一次就可以了。但是如果你需要它好几次，因为它会污染你的控制器的基础设施细节，这通常应该被框架隐藏。

所以你可能真正想要的是有一个这样的控制器：

public ModelAndView someRequestHandler(@ActiveUser User activeUser) {
   ...
}

因此，您只需要实现一个WebArgumentResolver. 它有一个方法

Object resolveArgument(MethodParameter methodParameter,
                   NativeWebRequest webRequest)
                   throws Exception

这将获取 Web 请求（第二个参数），并且必须返回它User是否对方法参数（第一个参数）负责。

从 Spring 3.1
开始，有一个新概念称为HandlerMethodArgumentResolver.
如果您使用 Spring 3.1+，那么您应该使用它。（在此答案的下一部分中进行了描述））

public class CurrentUserWebArgumentResolver implements WebArgumentResolver{

   Object resolveArgument(MethodParameter methodParameter, NativeWebRequest webRequest) {
        if(methodParameter is for type User && methodParameter is annotated with @ActiveUser) {
           Principal principal = webRequest.getUserPrincipal();
           return (User) ((Authentication) principal).getPrincipal();
        } else {
           return WebArgumentResolver.UNRESOLVED;
        }
   }
}

您需要定义自定义注释——如果用户的每个实例都应始终从安全上下文中获取，但绝不是命令对象，则可以跳过它。

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ActiveUser {}

在配置中你只需要添加这个：

<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter"
    id="applicationConversionService">
    <property name="customArgumentResolver">
        <bean class="CurrentUserWebArgumentResolver"/>
    </property>
</bean>

@See：学习自定义 Spring MVC @Controller
方法参数

应该注意的是，如果您使用的是 Spring 3.1，他们建议使用 HandlerMethodArgumentResolver 而不是
WebArgumentResolver。 - 见杰伊的评论

与`HandlerMethodArgumentResolver`Spring 3.1+相同

public class CurrentUserHandlerMethodArgumentResolver
                               implements HandlerMethodArgumentResolver {

     @Override
     public boolean supportsParameter(MethodParameter methodParameter) {
          return
              methodParameter.getParameterAnnotation(ActiveUser.class) != null
              && methodParameter.getParameterType().equals(User.class);
     }

     @Override
     public Object resolveArgument(MethodParameter methodParameter,
                         ModelAndViewContainer mavContainer,
                         NativeWebRequest webRequest,
                         WebDataBinderFactory binderFactory) throws Exception {

          if (this.supportsParameter(methodParameter)) {
              Principal principal = webRequest.getUserPrincipal();
              return (User) ((Authentication) principal).getPrincipal();
          } else {
              return WebArgumentResolver.UNRESOLVED;
          }
     }
}

在配置中，你需要添加这个

<mvc:annotation-driven>
      <mvc:argument-resolvers>
           <bean class="CurrentUserHandlerMethodArgumentResolver"/>         
      </mvc:argument-resolvers>
 </mvc:annotation-driven>

@参见利用 Spring MVC 3.1 HandlerMethodArgumentResolver
接口

Spring-Security 3.2 解决方案

Spring Security 3.2（不要与 Spring 3.2
混淆）有自己的内置解决方案：@AuthenticationPrincipal(
org.springframework.security.web.bind.annotation.AuthenticationPrincipal)
。这在Lukas Schmelzeisen
的回答中得到了很好的描述

它只是在写

ModelAndView someRequestHandler(@AuthenticationPrincipal User activeUser) {
    ...
 }

要使其正常工作，您需要注册AuthenticationPrincipalArgumentResolver(
org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver)
：通过“激活” @EnableWebMvcSecurity或通过在其中注册此 bean mvc:argument-resolvers-
与我在上面的 May Spring 3.1 解决方案中描述的方式相同。

@参见Spring Security 3.2 参考，第 11.2
章。@AuthenticationPrincipal

Spring-Security 4.0 解决方案

它的工作方式类似于 Spring 3.2 解决方案，但在 Spring 4.0
中@AuthenticationPrincipal，它AuthenticationPrincipalArgumentResolver被“移动”到了另一个包：

（但旧包中的旧类仍然存在，所以不要混合它们！）

它只是在写

import org.springframework.security.core.annotation.AuthenticationPrincipal;
ModelAndView someRequestHandler(@AuthenticationPrincipal User activeUser) {
    ...
}

要使其正常工作，您需要注册 ( org.springframework.security.web.method.annotation.)
AuthenticationPrincipalArgumentResolver：通过“激活”
@EnableWebMvcSecurity或通过在其中注册此 bean mvc:argument-resolvers- 与我在上面的 May
Spring 3.1 解决方案中描述的方式相同。

<mvc:annotation-driven>
    <mvc:argument-resolvers>
        <bean class="org.springframework.security.web.method.annotation.AuthenticationPrincipalArgumentResolver" />
    </mvc:argument-resolvers>
</mvc:annotation-driven>

@参见Spring Security 5.0 参考，第 39.3 章@AuthenticationPrincipal

2022-08-24