做网站应该了解什么,网店美工教案,wap建站程序哪个好,扬中论坛全部帖子SpringSecurity Context 获取和更改用户信息的问题
SecurityContext 异步线程中获取用户信息
今天在做项目时遇到了一个问题#xff0c;我需要获取当前用户的 ID。之前#xff0c;前端并没有存储用户信息#xff0c;我一直是在后端的 service 中通过 SecurityContext 来获…SpringSecurity Context 获取和更改用户信息的问题
SecurityContext 异步线程中获取用户信息
今天在做项目时遇到了一个问题我需要获取当前用户的 ID。之前前端并没有存储用户信息我一直是在后端的 service 中通过 SecurityContext 来获取用户信息这个方法之前一直有效。然而今天在另一个 service 中调用时却无法获取到用户信息。
经过详细排查发现 SecurityContext 的内容是与请求线程如 HTTP 请求绑定的。但我当前的 service 是用于处理 MQTT 消息这属于异步线程。因此在异步线程中无法从 SecurityContext 获取用户信息只能另寻解决方案。 /*** 处理接收到的设备数据根据数据类型进行不同的处理。energy数据存储到数据库其他数据通过WebSocket发送到前端展示。* param data 数据内容*/private void handleIncomingData(String data) {....../** 通过设备ID找到用户ID, 不能通过securityContext获取当前用户ID因为这里是异步处理消息不在请求线程中。* 通过securityContext获取当前用户ID的方法只能在请求线程中使用通常是与HTTP请求相关的操作才能获取到。* 这里是MQTT消息处理不在请求线程中所以要通过其他方式获取当前用户ID。* 还因为这里是存入数据库因为也不能依赖物理设备的用户ID设备不一定是存用户ID, 降低耦合性。TODO: 这里是否可以改进*/long userId deviceMapper.findDeviceById(deviceId).getUserId();if (userId0) {//如果userId0说明没有找到对应的设备logger.error(Failed to get user id by device id: {}, deviceId);throw new RuntimeException(Failed to get user id by device id: deviceId);}Energy energy new Energy();energy.setDeviceId(deviceId);energy.setEnergy(totalEnergy);energy.setRecordDate(recordDate);energy.setUserId(userId);......}SecurityContext 线程降级问题
在项目中遇到 SecurityContext 线程降级的问题具体场景是用户修改个人资料如邮箱后我希望 SecurityContext 中的用户信息能及时更新。然而在修改邮箱后用户需要跳转到邮箱验证码验证页面该页面通过 security 配置中的 permitAll() 允许匿名访问。
这个配置导致一个问题虽然用户已经登录认证但在访问 /verify-code 页面时SecurityContext 中的身份会被降级为匿名用户进而导致更新后的信息没有在 SecurityContext 中及时反映。
我了解到可以通过 setAuthentication() 手动更新 SecurityContext但尝试后依然无法解决问题更新后的用户信息仍旧无法及时同步到 SecurityContext 中 Beanpublic SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http.csrf(AbstractHttpConfigurer::disable) // disable csrf.authorizeHttpRequests(authorize - authorize.requestMatchers(/login,/register,/verify-code,/forgot-password,/change-password).permitAll()// permit request without authentication.requestMatchers(/ws/**).permitAll()// permit websocket request without authentication.anyRequest().authenticated()).addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class).logout(AbstractHttpConfigurer::disable);// disable logout otherwise it will conflict with our custom logoutreturn http.build();}
