对于最新的稳定版本，请使用 Spring Security 6.5.3！spring-doc.cadn.net.cn

Servlet API 集成

Servlet 2.5+ 集成

本节介绍 Spring Security 如何与 Servlet 2.5 规范集成。spring-doc.cadn.net.cn

HttpServletRequest.getRemoteUser（）

HttpServletRequest.getRemoteUser()返回SecurityContextHolder.getContext().getAuthentication().getName()，通常是当前用户名。如果您想在应用程序中显示当前用户名，这会很有用。此外，您可以检查此值是否为 null，以确定用户是否已进行身份验证或匿名。了解用户是否经过身份验证有助于确定是否应显示某些 UI 元素（例如，仅当用户经过身份验证时才应显示的注销链接）。spring-doc.cadn.net.cn

HttpServletRequest.getUserPrincipal（）

HttpServletRequest.getUserPrincipal()返回SecurityContextHolder.getContext().getAuthentication(). 这意味着它是Authentication，通常是UsernamePasswordAuthenticationToken使用基于用户名和密码的身份验证时。如果您需要有关用户的其他信息，这会很有用。例如，您可能已经创建了自定义UserDetailsService返回自定义UserDetails包含用户的名字和姓氏。您可以通过以下方式获取此信息：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

Authentication auth = httpServletRequest.getUserPrincipal();
// assume integrated custom UserDetails called MyCustomUserDetails
// by default, typically instance of UserDetails
MyCustomUserDetails userDetails = (MyCustomUserDetails) auth.getPrincipal();
String firstName = userDetails.getFirstName();
String lastName = userDetails.getLastName();

val auth: Authentication = httpServletRequest.getUserPrincipal()
// assume integrated custom UserDetails called MyCustomUserDetails
// by default, typically instance of UserDetails
val userDetails: MyCustomUserDetails = auth.principal as MyCustomUserDetails
val firstName: String = userDetails.firstName
val lastName: String = userDetails.lastName

应该注意的是，在整个应用程序中执行如此多的逻辑通常是不好的做法。相反，应该集中它以减少 Spring Security 和 Servlet API 的任何耦合。spring-doc.cadn.net.cn

HttpServletRequest.isUserInRole（字符串）

HttpServletRequest.isUserInRole(String)确定是否SecurityContextHolder.getContext().getAuthentication().getAuthorities()包含一个GrantedAuthority将角色传递给isUserInRole(String). 通常，用户不应将ROLE_前缀，因为它是自动添加的。例如，如果要确定当前用户是否具有权限“ROLE_ADMIN”，可以使用以下命令：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

boolean isAdmin = httpServletRequest.isUserInRole("ADMIN");

val isAdmin: Boolean = httpServletRequest.isUserInRole("ADMIN")

这对于确定是否应显示某些 UI 组件可能很有用。例如，仅当当前用户是管理员时，才可以显示管理员链接。spring-doc.cadn.net.cn

Servlet 3+ 集成

以下部分介绍了与 Spring Security 集成的 Servlet 3 方法。spring-doc.cadn.net.cn

HttpServletRequest.authenticate（HttpServletRequest，HttpServletResponse）

您可以使用HttpServletRequest.authenticate(HttpServletRequest,HttpServletResponse)方法来确保用户经过身份验证。如果它们未经过身份验证，则配置的AuthenticationEntryPoint用于请求用户进行身份验证（重定向到登录页面）。spring-doc.cadn.net.cn

您可以使用HttpServletRequest.login(String,String)使用当前AuthenticationManager. 例如，以下内容将尝试使用用户名user密码password:spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

try {
httpServletRequest.login("user","password");
} catch(ServletException ex) {
// fail to authenticate
}

try {
    httpServletRequest.login("user", "password")
} catch (ex: ServletException) {
    // fail to authenticate
}

您无需抓住ServletException如果您希望 Spring Security 处理失败的身份验证尝试。spring-doc.cadn.net.cn

HttpServletRequest.logout（）

您可以使用HttpServletRequest.logout()方法注销当前用户。spring-doc.cadn.net.cn

通常，这意味着SecurityContextHolder被清除时，HttpSession无效，任何“记住我”身份验证都将被清理，依此类推。但是，配置的LogoutHandler实现会有所不同，具体取决于您的 Spring Security 配置。请注意，在HttpServletRequest.logout()已调用，您仍然负责写出回复。通常，这将涉及重定向到欢迎页面。spring-doc.cadn.net.cn

AsyncContext.start（可运行）

这AsyncContext.start(Runnable)方法确保您的凭据传播到新的Thread. 通过使用 Spring Security 的并发支持，Spring Security 覆盖了AsyncContext.start(Runnable)以确保当前的SecurityContext在处理 Runnable 时使用。以下示例输出当前用户的身份验证：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

final AsyncContext async = httpServletRequest.startAsync();
async.start(new Runnable() {
	public void run() {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		try {
			final HttpServletResponse asyncResponse = (HttpServletResponse) async.getResponse();
			asyncResponse.setStatus(HttpServletResponse.SC_OK);
			asyncResponse.getWriter().write(String.valueOf(authentication));
			async.complete();
		} catch(Exception ex) {
			throw new RuntimeException(ex);
		}
	}
});

val async: AsyncContext = httpServletRequest.startAsync()
async.start {
    val authentication: Authentication = SecurityContextHolder.getContext().authentication
    try {
        val asyncResponse = async.response as HttpServletResponse
        asyncResponse.status = HttpServletResponse.SC_OK
        asyncResponse.writer.write(String.valueOf(authentication))
        async.complete()
    } catch (ex: Exception) {
        throw RuntimeException(ex)
    }
}

异步 Servlet 支持

如果您使用基于 Java 的配置，则可以开始使用。如果使用 XML 配置，则需要进行一些更新。第一步是确保您已更新web.xml文件至少使用 3.0 模式：spring-doc.cadn.net.cn

<web-app xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee https://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">

</web-app>

接下来，您需要确保您的springSecurityFilterChain设置为处理异步请求：spring-doc.cadn.net.cn

<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>
	org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>ASYNC</dispatcher>
</filter-mapping>

现在，Spring Security 确保您的SecurityContext也会在异步请求上传播。spring-doc.cadn.net.cn

那么它是如何工作的呢？如果您不太感兴趣，请随时跳过本节的其余部分其中大部分内置于 Servlet 规范中，但 Spring Security 进行了一些调整，以确保异步请求正常工作。在 Spring Security 3.2 之前，SecurityContext从SecurityContextHolder一旦HttpServletResponse被承诺了。这可能会导致异步环境中出现问题。请考虑以下示例：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

httpServletRequest.startAsync();
new Thread("AsyncThread") {
	@Override
	public void run() {
		try {
			// Do work
			TimeUnit.SECONDS.sleep(1);

			// Write to and commit the httpServletResponse
			httpServletResponse.getOutputStream().flush();
		} catch (Exception ex) {
			ex.printStackTrace();
		}
	}
}.start();

httpServletRequest.startAsync()
object : Thread("AsyncThread") {
    override fun run() {
        try {
            // Do work
            TimeUnit.SECONDS.sleep(1)

            // Write to and commit the httpServletResponse
            httpServletResponse.outputStream.flush()
        } catch (ex: java.lang.Exception) {
            ex.printStackTrace()
        }
    }
}.start()

问题是这个ThreadSpring Security 不知道，因此SecurityContext不会传播到它。这意味着，当我们提交HttpServletResponse，没有SecurityContext. 当 Spring Security 自动保存SecurityContext在提交HttpServletResponse，它将丢失一个登录的用户。spring-doc.cadn.net.cn

从 3.2 版开始，Spring Security 足够智能，不再自动保存SecurityContext在提交HttpServletResponse一旦HttpServletRequest.startAsync()被调用。spring-doc.cadn.net.cn

Servlet 3.1+ 集成

以下部分介绍了与 Spring Security 集成的 Servlet 3.1 方法。spring-doc.cadn.net.cn

HttpServletRequest#changeSessionId（）

HttpServletRequest.changeSessionId（）是 Servlet 3.1 及更高版本中防止会话固定攻击的默认方法。spring-doc.cadn.net.cn