SpringSecurity6 | 获取登录用户的认证信息

Spring Security 6 是一个强大的安全框架，广泛用于保护 Java 应用程序，尤其是 Spring 应用。获取登录用户的认证信息是一个常见的需求，尤其是在实现基于角色的访问控制或者记录用户活动时。本文将介绍如何在 Spring Security 6 中获取登录用户的认证信息，并提供代码示例。

1. 环境准备

在开始之前，确保您已经设置了 Spring Boot 项目，并且引入了 spring-boot-starter-security 依赖。以下是 Maven 的依赖示例：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2. Spring Security 配置

首先，您需要设置 Spring Security 的基本配置。在这个配置类中，我们可以定义哪些端点需要保护，哪些端点是公开的。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // 公开的端点
                .anyRequest().authenticated() // 其他端点需要认证
                .and()
            .formLogin().permitAll() // 允许表单登录
                .and()
            .logout().permitAll(); // 允许注销
    }
}

3. 获取登录用户的认证信息

在开发过程中，您可能需要获取当前登录用户的详情。Spring Security 提供了一个方便的方法来访问当前的身份验证对象。您可以使用 SecurityContextHolder 获取当前用户的认证信息。

以下是一个简单的 Controller 示例，展示了如何获取当前用户的身份信息：

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class UserController {

    @GetMapping("/user")
    public String getUserInfo() {
        // 获取当前用户的认证信息
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        // 获取用户名
        String username = authentication.getName();

        // 获取角色
        StringBuilder roles = new StringBuilder();
        authentication.getAuthorities().forEach(authority -> {
            roles.append(authority.getAuthority()).append(" ");
        });

        return String.format("当前用户: %s，角色: %s", username, roles.toString().trim());
    }
}

4. 测试

启动您的 Spring Boot 应用后，您可以访问 /login 页面进行登录。登录成功后，访问 /user 端点，它将返回当前用户的基本信息和角色。例如：

当前用户: alice，角色: ROLE_USER

5. 结论

通过 Spring Security 6，获取登录用户的认证信息非常简单。使用 SecurityContextHolder，您可以轻松地访问当前用户的信息，并据此做出相应的业务逻辑处理。请根据您的具体需求，对这些基础示例进行扩展和自定义，以实现更复杂的用户身份验证和授权功能。