我从中检索的用户原则是否绑定到请求或会话?SecurityContextHolder
UserPrincipal principal = (UserPrincipal) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
这是我访问当前登录用户的方式。如果当前会话被销毁,这会失效吗?
这取决于你如何配置它(或者比方说,你可以配置一个不同的行为)。
在Web应用程序中,您将使用ThreadLocalSecurityContextHolderStrategy,它与SecurityContextPersistenceFilter交互。
的 Java 文档以以下开头:SecurityContextPersistenceFilter
在请求之前,使用从配置的 {@link SecurityContextRepository} 获取的信息填充 {@link SecurityContextHolder},并在请求完成后将其存储回存储库中并清除上下文持有者。默认情况下,它使用 {@link HttpSessionSecurityContextRepository}。有关 HttpSession 相关配置选项的信息,请参阅此类。
顺便说一句:HttpSessionSecurityContextRepository是SecurityContextRepository的唯一实现(我在默认的libs中找到)
它的工作原理如下:
HttpSessionSecurityContextRepository使用httpSession(Key=“SPRING_SECURITY_CONTEXT”)来存储对象。SecurityContextSecurityContextPersistenceFilterSecurityContextRepositoryHttpSessionSecurityContextRepositorySecurityContextSecurityContextSecurityContextHolder#setContext) SecurityContextHoldersetContextgetContextSecurityContextHolderStrategyThreadLocalSecurityContextHolderStrategy总而言之:用户主体(SecurityContext的元素)存储在HTTP会话中。对于每个请求,它都放在您访问它的本地线程中。
