Java Spring Security
在某些场景中需要获取当前的用户是谁?如果使用了Spring Secrity作为安全框架可以通过以下手段获取当前用户。

SecurityContext

无论是有状态的Session模式还是流行的JWT模式都可以通过SecurityContext来获取当前的用户:

  1. Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
  2. String currentPrincipalName = authentication.getName();

当然这种方式是不够严谨的,如果接口允许匿名访问很可能返回一个匿名用户,而匿名用户并不能直接通过getName获取,所以需要优化上面的逻辑为:

  1. Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
  2. if (!(authentication instanceof AnonymousAuthenticationToken)) {
  3.     String currentUserName = authentication.getName();
  4.     return currentUserName;
  5. }else{
  6.     throw RuntimeException("No User")
  7. }

其实平常使用这种方式的最多,使用一个抽象的父类控制器来封装获取当前用户的方法。

Principal

java.security.Principal对象也可以获取当前的用户信息,在Spring Security中该对象表现为Authentication对象,如果在Spring MVC接口中定义Principal对象也可以获取当前用户:

  1. @GetMapping("/currentusername")
  2. public String currentUserName(Principal principal) {
  3.         return principal.getName();
  4. }

同理Authentication对象也是可以的:

  1.  @GetMapping("/currentusername")
  2.  public String currentUserName(Authentication authentication) {
  3.         return authentication.getName();
  4.  }

AuthenticationPrincipal

很多时候自定义了用户对象UserDetails,可以通过Spring Security 4.0提供的注解@AuthenticationPrincipal来获取当前用户的自定义UserDetails对象。如果CustomUserUserDetails的实现,那么可以:

  1. @GetMapping("/currentusername")
  2.  public String currentUserName(@AuthenticationPrincipal CustomUser customUser) {
  3.    return customUser.getUsername();
  4. }

更简单点的话:

  1. @GetMapping("/currentusername")
  2.  public String currentUserName(@AuthenticationPrincipal(expression = "username") String username) {
  3.    return username;
  4. }

这需要CustomUser包含一个getUsername方法。
甚至自定义一个注解也是可以的:

  1. @Target({ElementType.PARAMETER, ElementType.TYPE})
  2. @Retention(RetentionPolicy.RUNTIME)
  3. @Documented
  4. @AuthenticationPrincipal
  5. public @interface CurrentUser {}

CurrentSecurityContext

Spring Security 5 提供了一个新的注解@CurrentSecurityContext来获取当前用户的安全上下文,可以:

  1. @GetMapping("/currentusername")
  2. public String currentUserName(@CurrentSecurityContext(expression = "authentication") 
  3.                               Authentication authentication) {
  4.     return authentication.getName();
  5. }

当然还可以通过expression参数声明SpEL表达式来获取其它属性,例如获取Principal对象:

  1. @GetMapping("/principal")
  2. public String getPrincipal(@CurrentSecurityContext(expression = "authentication.principal") 
  3.   Principal principal) { 
  4.     return principal.getName(); 
  5. }

HttpServletRequest

据说HttpServletRequestgetUserPrincipal()方法也可以。