Spring Security中在Bean里获取当前用户名（即SecurityContext）信息的正确方法

技术背景

在使用Spring MVC构建的Web应用中，若采用Spring Security进行安全认证，常常需要获取当前登录用户的用户名。然而，直接调用SecurityContextHolder的静态方法来获取用户信息，这与Spring依赖注入的理念相悖。因此，需要寻找更合适的方式来获取当前用户的信息。

实现步骤

1. 使用Spring 3的Principal参数

在Spring 3中，可以在控制器方法中直接使用Principal参数来获取当前用户的信息。示例代码如下：

@RequestMapping(method = RequestMethod.GET)   
public ModelAndView showResults(final HttpServletRequest request, Principal principal) {
    final String currentUser = principal.getName();
    // 其他操作
    return new ModelAndView("viewName");
}

2. 自定义接口和实现类进行依赖注入

• 定义接口：创建一个接口，抽象SecurityContextHolder的操作。

public interface SecurityContextFacade {
    SecurityContext getContext();
    void setContext(SecurityContext securityContext);
}

• 实现接口：创建接口的实现类，使用SecurityContextHolder来实现具体的方法。

public class SecurityContextHolderFacade implements SecurityContextFacade {
    public SecurityContext getContext() {
        return SecurityContextHolder.getContext();
    }
    public void setContext(SecurityContext securityContext) {
        SecurityContextHolder.setContext(securityContext);
    }
}

• 使用接口：在控制器或其他POJO中使用该接口。

public class FooController {
    private final SecurityContextFacade securityContextFacade;
    public FooController(SecurityContextFacade securityContextFacade) {
        this.securityContextFacade = securityContextFacade;
    }
    public void doSomething(){
        SecurityContext context = securityContextFacade.getContext();
        // 使用context进行其他操作
    }
}

• 配置Spring：在Spring配置文件中配置接口的实现类。

<bean id="myController" class="com.foo.FooController">
    <constructor-arg index="0">
        <bean class="com.foo.SecurityContextHolderFacade"/>
    </constructor-arg>
</bean>

3. 使用@AuthenticationPrincipal注解（Spring Security 3.2及以上版本）

如果使用的是Spring Security 3.2及以上版本，可以使用@AuthenticationPrincipal注解来获取当前用户信息。示例代码如下：

@RequestMapping(method = RequestMethod.GET)
public ModelAndView showResults(@AuthenticationPrincipal CustomUser currentUser, HttpServletRequest request) {
    String currentUsername = currentUser.getUsername();
    // 其他操作
    return new ModelAndView("viewName");
}

其中，CustomUser是实现了UserDetails接口的自定义用户对象，由自定义的UserDetailsService返回。

4. 在JSP页面中使用Spring Security标签库

在JSP页面中，可以使用Spring Security标签库来显示当前用户信息。首先，需要在JSP页面中声明标签库：

<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

然后，在JSP页面中使用标签：

<security:authorize access="isAuthenticated()">
    已登录用户: <security:authentication property="principal.username" /> 
</security:authorize>
<security:authorize access="! isAuthenticated()">
    未登录
</security:authorize>

需要注意的是，要在security.xml配置文件的http标签中添加use-expressions="true"。

核心代码

以下是一些常用的核心代码片段：

使用SecurityContextHolder获取用户信息

String currentUser = SecurityContextHolder.getContext().getAuthentication().getName();

使用HttpServletRequest获取用户信息

import javax.servlet.http.HttpServletRequest;
// ...
if(request.getUserPrincipal() != null) {
    String loginName = request.getUserPrincipal().getName();
    System.out.println("登录用户名: " + loginName );
}

最佳实践

• 优先使用Spring提供的特性：如Spring 3的Principal参数和@AuthenticationPrincipal注解，这些方法简单易用，符合Spring的编程风格。
• 避免直接调用静态方法：尽量使用依赖注入的方式来获取用户信息，提高代码的可测试性和可维护性。
• 使用接口进行抽象：通过自定义接口和实现类，将SecurityContextHolder的操作进行抽象，方便进行单元测试。

常见问题

1. HttpServletRequest.getUserPrincipal()返回null

如果用户是匿名认证（在Spring Security XML中使用了<http><anonymous>元素），HttpServletRequest.getUserPrincipal()可能会返回null。此时，建议使用SecurityContextHolder或SecurityContextHolderStrategy来获取用户信息。

2. 多线程环境下的问题

在多线程环境中，由于SecurityContextHolder默认使用ThreadLocalSecurityContextHolderStrategy来存储SecurityContext，因此不建议在Bean初始化时直接注入SecurityContext，而应该在每次需要时从ThreadLocal中获取。