开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

SecurityContext为空或内容为匿名-上下文将不会存储在HttpSession中，并且永远不会填写登录用户的主体

SecurityContext为空或内容为匿名是指在应用程序中的安全上下文（SecurityContext）没有被正确设置或者被设置为匿名用户。安全上下文是一个存储当前用户的信息和权限的数据结构，它可以在整个应用程序中访问和使用。

安全上下文的主要作用是在用户进行操作时，提供身份认证和授权的信息。当SecurityContext为空或内容为匿名时，意味着应用程序无法确定当前用户的身份和权限，从而可能导致安全漏洞和风险。

这种情况通常会发生在用户未登录或者登录状态失效时。在Web应用程序中，登录用户的主体通常会被存储在HttpSession中，以便在会话期间保持用户的身份信息。然而，当SecurityContext为空或内容为匿名时，登录用户的主体将不会被存储在HttpSession中，这意味着无法通过HttpSession来验证用户的身份和权限。

为了解决这个问题，可以采取以下措施：

身份认证和授权：确保在用户进行敏感操作之前，验证用户的身份和权限。可以使用各种身份验证机制，如用户名和密码、令牌、单点登录等。在认证过程中，可以使用各种安全框架和技术，如Spring Security、OAuth、OpenID Connect等。
错误处理和提示：当SecurityContext为空或内容为匿名时，应该向用户提供友好的错误提示，并引导用户进行登录或重新登录操作。这可以通过在应用程序中添加适当的错误处理机制和提示信息来实现。
安全配置和策略：确保应用程序中的安全配置和策略是正确的。这包括使用安全的传输协议（如HTTPS），限制敏感操作的访问权限，对用户输入进行有效的验证和过滤，以及实施其他安全措施来保护应用程序和用户数据。

腾讯云提供了一系列云安全产品和服务，以帮助用户保护其应用程序和数据的安全。其中一些相关产品和服务包括：

腾讯云Web应用防火墙（WAF）：提供对Web应用程序的保护，可以防御常见的Web攻击，如SQL注入、跨站脚本（XSS）等。详情请参考：https://cloud.tencent.com/product/waf
腾讯云数据加密服务（CMK）：提供数据的加密和解密功能，可以帮助用户保护敏感数据的安全。详情请参考：https://cloud.tencent.com/product/kms
腾讯云安全运维中心（SOC）：提供全天候的安全监控和响应服务，可以帮助用户快速识别和应对安全威胁。详情请参考：https://cloud.tencent.com/product/soc

请注意，以上仅为示例，具体的产品和服务选择应根据实际需求和场景进行评估和选择。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security(四)--核心过滤器源码分析

前面的部分，我们关注了Spring Security是如何完成认证工作的，但是另外一部分核心的内容：过滤器，一直没有提到，我们已经知道Spring Security使用了springSecurityFillterChian作为了安全过滤的入口，这一节主要分析一下这个过滤器链都包含了哪些关键的过滤器，并且各自的使命是什么。目录：过滤器详解 4.1 核心过滤器概述 4.2 SecurityContextPersistenceFilter 源码分析 4.3 UsernamePasswordAuthentic

08

Spring Security (四) 核心过滤器源码分析

前面的部分，我们关注了Spring Security是如何完成认证工作的，但是另外一部分核心的内容：过滤器，一直没有提到，我们已经知道Spring Security使用了springSecurityFillterChian作为了安全过滤的入口，这一节主要分析一下这个过滤器链都包含了哪些关键的过滤器，并且各自的使命是什么。 4 过滤器详解 4.1 核心过滤器概述由于过滤器链路中的过滤较多，即使是Spring Security的官方文档中也并未对所有的过滤器进行介绍，在之前，《Spring Security(

07

Springboot + Spring Security + jwt-token实现权限认证

本项目默认是用session认证用户的，但是源于要开放某些接口给其他系统调用，故想在保留原先session认证的基础上，对部分接口使用jwt-token认证。参考了网上的一些资料，针对自己项目实际情况实现如下。

03

【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter

首先来看看在spring-security-core中的SecurityContextHolder，这个是一个非常基础的对象，存储了当前应用的上下文SecurityContext，而在SecurityContext可以获取Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

04

奇怪，Spring Security 登录成功后总是获取不到登录用户信息？

一开始我觉得这可能是一个小概率 BUG，但是当问的人多了，我觉得这个问题对于新手来说还有一定的普遍性，有必要来写篇文章跟大家仔细聊一聊这个问题，防止小伙伴们掉坑。

06

浅析 Spring Security 的认证过程及相关过滤器

上一篇文章浅析 Spring Security 核心组件中介绍了Spring Security的基本组件，有了前面的基础，这篇文章就来详细分析下Spring Security的认证过程。

01

SpringSecurity过滤器链SecurityContextPersistenceFilter

SecurityContextPersistenceFilter是Springsecurity链中第二道防线，位于WebAsyncManagerIntegrationFilter之后，作用是为了存储SecurityContext而设计的。

01

SpringSecurity6 | 核心过滤器

大家好，我是Leo哥🫣🫣🫣，上一节我们通过源码剖析以及图文分析，了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器，了解SpringSecurity中都有哪些核心过滤器。好了，话不多说让我们开始吧😎😎😎。

03

聊聊SecurityContextPersistenceFilter

本文主要研究下SecurityContextPersistenceFilter的作用。

02

Spring Security入门（三）: 基于自定义数据库查询的认证实战

在笔者的上一篇文章中Spring Security入门（二)：基于内存的认证一文中有提到过Spring Security实现自定义数据库查询需要你实现UserDetailsService接口，并实现loadUserByUsername(String username)抽象方法。我们可以在UserDetailsService接口的实现类中注入数据库访问对象Dao，从而实现自定义数据库查询认证用户信息。下面在笔者的boot-demo实战项目中我们结合spring data jpa作为持久层技术来一步一步实现自定义数据库认证。

04

Spring Security中利用JWT退出登录大部分人都写错了配置

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

02

[WCF权限控制]从两个重要的概念谈起：Identity与Principal[上篇]

在安全领域，认证和授权是两个重要的主题。认证是安全体系的第一道屏障，守护着整个应用或者服务的第一道大门。当访问者叩门请求进入的时候，认证体系通过验证对方提供凭证确定其真实身份。作为看门人的认证体系，只有在证实了访问者的真实身份的情况下才会为其打开城门，否则将之举之门外。当访问者入门之后，并不意味着它可以为所欲为。为了让适合的人干适合的事，就需要授权机制为具体的人设置具体的权限，并根据这些权限设置决定试图调用的操作或者访问的资源对该访问者是否是安全的。对于一个安全保障体系来说，授权是目的。但是授权的执行是假

任何 Web 项目都离不开的 Spring Security【原理+实战（前后端分离+无状态）】

大部分系统开发的第一个功能，基本上都是用户注册、登录，这两个看似简单的功能，实则是任何系统安全的基石。Spring Security 想必都很熟悉，作为一个安全管理框架，提供了丰富的认证机制、授权模型以及安全防护措施，极大简化了安全性的开发过程。本文就围绕 Spring Security 的架构原理、配置方法以及高级特性，高效的构建出一个安全的Web应用。

05

深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置：addFilterBefore

使用SpringSecurity可以在任何地方注入Authentication进而获取到当前登录的用户信息，可谓十分强大。

05

Spring Security 6.x 一文讲透Session认证管理机制

之前几篇文章，主要围绕着身份认证的相关内容，今天主要讨论一下认证状态的保持，由于HTTP协议是无状态的，因此在认证成功之后，为了让后续的请求可以继续保持住这个认证状态，避免每次请求都要重新发起认证过程，就需要对认证结果进行持久化，然后在新的请求到达时查询并还原回来对应的认证状态，通常有两种实现方案，一种是经典的cookie-session方案，即在服务端的session属性中存取认证信息，优点是实现方法比较简单，另一种是token令牌方案，利用一些算法对认证信息进行编码和解码，优点是无需落地，有效地减轻服务端存储的压力，本文主要介绍Spring Security框架中基于session的认证及常用的管理机制。

01

不掌握这些内置Filter 你就学不会 Spring Security

上一文我们使用 Spring Security 实现了各种登录聚合的场面。其中我们是通过在 UsernamePasswordAuthenticationFilter 之前一个自定义的过滤器实现的。我怎么知道自定义过滤器要加在 UsernamePasswordAuthenticationFilter 之前。我在这个系列开篇说了 Spring Security 权限控制的一个核心关键就是过滤器链，这些过滤器如下图进行过滤传递，甚至比这个更复杂！这只是一个最小单元。

04

Spring Security6 全新写法，大变样！

Spring Security 在最近几个版本中配置的写法都有一些变化，很多常见的方法都废弃了，并且将在未来的 Spring Security7 中移除，因此松哥在去年旧文的基础之上，又补充了一些新的内容，重新发一下，供各位使用 Spring Security 的小伙伴们参考。

02

从执行上下文角度重新理解.NET(Core)的多线程编程[3]：安全上下文

在前两篇文章(《基于调用链的”参数”传递》和《同步上下文》)中，我们先后介绍了CallContext（IllogicalCallContext和LogicalCallContext）、AsyncLocal<T>和SynchronizationContext，它们都是线程执行上下文的一部分。本篇介绍的安全上下文（SecurityContext）同样是执行上下文的一部分，它携带了的身份和权限相关的信息决定了执行代码拥有的控制权限。

02

在 request 之间共享 SecurityContext

既然 SecurityContext 是存放在 ThreadLocal 中的，而且在每次权限鉴定的时候都是从 ThreadLocal 中获取 SecurityContext 中对应的 Authentication 所拥有的权限，并且不同的 request 是不同的线程，为什么每次都可以从 ThreadLocal 中获取到当前用户对应的 SecurityContext 呢？

02

SpringSecurity常用过滤器介绍

首当其冲的一个过滤器，非常重要主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext，并将SecurityContext给以后的过滤器使用，来为后续filter建立所需的上下文，SecurityContext中存储了当前用户的认证和权限信息。

02

Spring Security 实战干货：SecurityContext相关的知识

欢迎阅读 Spring Security 实战干货[1] 系列文章。在前两篇我们讲解了基于配置[2] 和基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的。因为你认证通过后访问资源，系统是知道你是谁的。而且显式的暴露用户的检索接口也不安全。所以我们需要一个业务中可以检索当前认证用户的工具。接下来我们来看看 Spring Security 是如何解决这个痛点的。文末现金抽奖福利！

03

Spring Security的认证和授权

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案，它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架，所以Spring Security充分利用了依赖注入（dependency injection，DI）和面向切面（AOP）的技术。

03

Windows 身份验证中的凭据管理

Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机，身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明（例如证书、密码或 PIN）相关联的数字文档。

01

Spring Security 常见过滤器梳理

Spring Security，作为Java平台上的一个强大且灵活的安全框架，为Web应用程序提供了全面的安全解决方案，包括认证、授权、加密、会话管理等。其核心机制之一就是过滤器链（Filter Chain），该机制允许开发者通过一系列精心设计的过滤器来控制和保护HTTP请求的处理过程。本文将深入介绍Spring Security中一些关键过滤器的功能及其在安全体系中的角色。

01

Spring Security 两种资源放行策略，千万别用错了！

就是他使用 Spring Security 做用户登录，等成功后，结果无法获取到登录用户信息，松哥之前写过相关的文章（奇怪，Spring Security 登录成功后总是获取不到登录用户信息？），但是他似乎没有看懂。考虑到这是一个非常常见的问题，因此我想今天换个角度再来和大伙聊一聊这个话题。

05

了解SecurityContext

通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的。因为你认证通过后访问资源，系统是知道你是谁的。而且显式的暴露用户的检索接口也不安全。所以我们需要一个业务中可以检索当前认证用户的工具。接下来我们来看看 Spring Security 是如何解决这个痛点的。

02

权限框架 | 学会Spring Security权限框架，就是这么简单

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架（简单说是对访问权限进行控制 )。

05

SpringSecurity学习

其核心就是一组过滤器链，项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份，一个在spring security中一种过滤器处理一种认证方式

02

SecurityContextHolder之策略模式源码分析

springsecurity中，用户登录信息本质是保存到HttpSession中，springsecurity进行封装获取登录数据有两种思路：

03

分布式解决方案-分布式Session一致性问题

在分布式架构中，会出现很多分布式问题，本文将要概述的就是分布式Session一致性的问题。

02

【第二篇】SpringSecurity的第一次美好约会

首先来看看在spring-security-core中的SecurityContextHolder，这个是一个非常基础的对象，存储了当前应用的上下文SecurityContext，而在SecurityContext可以获取Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

02

Spring Security源码分析八：Spring Security 退出

Spring Security的退出请求（默认为/logout）由LogoutFilter过滤器拦截处理。

02

会话跟踪技术之Session

Session介绍什么是Session？背景：HTTP协议是无状态协议，无状态是指每次request请求之前是相互独立的，当前请求并不会记录它的上一次请求信息问题：既然无状态，那么完成一整套业务逻辑，需要发送多次请求，那么怎么标识这些请求都是同一个浏览器操作呢？ cookie和session都是为了弥补http协议的无状态特性，对server端来说无法知道两次http请求是否来自同一个用户，利用cookie和session就可以让server端知道多次http请求是否来自同一用户生成和使用流程（和C

01

jsp中的session和上下文

Servelt API 中有HttpSession接口，来封装session对象。用HttpServletRequest来获取会话对象。

05

【SpringSecurity系列（十六）】会话固定攻击与防御

《深入浅出Spring Security》一书已由清华大学出版社正式出版发行，感兴趣的小伙伴戳这里->->>深入浅出Spring Security，一本书学会 Spring Security。

04

Spring Security---ONE

我们可以通过浏览器进行登录验证，默认的用户名是user.（下面的登录框不是我们开发的，是HttpBasic模式自带的）

01

【小家java】Session和Cookie的区别和联系、分布式session的几种实现方式

session和cookie两个概念，在web开发是经常被提及到的两个概念。它们之间有联系也有区别，那么本文主要解惑一些咱们平时挺关心的一些区别：

02

Spring Security 架构简介

Spring Framework 为开发 Java 应用程序提供了全面的基础架构支持。它包含了一些不错的功能，如 “依赖注入”，以及一些现成的模块：

05

MybatisPlus高级特性

2). 按照框架要求编写元数据对象处理器，在此类中统一为公共字段赋值，此类需要实现MetaObjectHandler接口。

01

Spring Security 工作原理概览

本文由读者 muggle 投稿，muggle 是一位具备极客精神的90后单身老实猿，对 Spring Security 有丰富的使用经验，muggle 个人博客地址是 https://muggle0.github.io。

04

SaaS-有状态服务和无状态服务

有状态和无状态服务是两种不同的服务架构，两者的不同之处在于对于服务状态的处理。服务状态是服务请求所需的数据，它可以是一个变量或者一个数据结构。无状态服务不会记录服务状态，不同请求之间也是没有任何关系；而有状态服务则反之。对服务器程序来说，究竟是有状态服务，还是无状态服务，其判断依据——两个来自相同发起者的请求在服务器端是否具备上下文关系。

01

Spring Security 架构简介

Spring Framework 为开发 Java 应用程序提供了全面的基础架构支持。它包含了一些不错的功能，如 "依赖注入"，以及一些现成的模块：

01

用java web实现聊天室_java web实现简单聊天室「建议收藏」

servlet、jsp实现简单聊天室，用户通过浏览器登录后进入聊天室，可发送消息进行群聊，点击聊天信息框中的用户名可实现拍一拍功能。

03

重磅推荐！开源身份认证神器：KeyCloak！

安装&初始化下载 http://www.keycloak.org/downloads.html 笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单，步骤如下：解压下载下来的安装包将目录切换到KEYCLOAK_PATH/bin ，其中KEYCLOAK_PATH是您Keycloak的根目录执行./standalone.sh ，即可启动Keycloak，如需后台运行，则执行./standalone.sh & 。初始化启动后，访问

02

用最简单的方式在ASP.NET Core应用中实现认证、登录和注销

本篇文章节选自《ASP.NET Core 3框架揭秘》（下册），针对本书的限时5折优惠截至到今天24时，有兴趣的朋友可以通过加入读者群进行购买。入群方式：扫描右方二维码添加“博文小丸子（broadview002）”，并将本书书号“38462”作为验证信息。源代码从这里下载。

03

Spring Security学习(二)

被LogoutFilter在成功注销后调用，用来进行重定向或者转发相应的目的地。注意这个接口与LogoutHandler几乎一样，但是可以抛出异常。

03

第五章：认证和动态菜单功能【基于Servlet+JSP的图书管理系统】

一、登录功能 1.认证实现视频：https://www.bilibili.com/video/BV1WP411B7Qt?t=7.1&p=54 53-图书管理系统-登录功能-认证处理首先完成最基

02

设计模式-责任链模式

责任链（Chain of Responsibility）模式的定义：为了避免请求发送者与多个请求处理者耦合在一起，将所有请求的处理者通过前一对象记住其下一个对象的引用而连成一条链；当有请求发生时，可将请求沿着这条链传递，直到有对象处理它为止。

02

Spring Security 实战干货：Spring Security中的单元测试

今天组里的新人迷茫的问我：哥，Spring Security弄的我单元测试跑不起来，总是401，你看看咋解决。没问题，有写单元测试的觉悟，写的代码质量肯定有保证，对代码质量重视的态度，这种忙一定要帮！

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭