春季安全。如何获取用户电子邮件地址？

Question

如何在控制器中获取用户电子邮件地址？

我正在尝试获取控制器中尝试登录的用户的电子邮件地址，但由于某种原因被阻止。我想通知用户使用此电子邮件地址的用户已被阻止。但为此，我需要得到他的电子邮件地址。

问题！如何在控制器中获取用户电子邮件地址？

我有 SecurityConfig、UserDetail、LoginController。

在这里我已经添加了整个项目 - https://github.com/romanych2021/mytest 专门为这个问题制作

安全配置

    package com.mytest.security;

    import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
    import org.springframework.security.core.userdetails.UserDetailsService;

    @EnableWebSecurity
    public class SecurityConfig extends WebSecurityConfigurerAdapter {

        private final
        UserDetailsService userDetailsService;

        public SecurityConfig(UserDetailsService userDetailsService) {
            this.userDetailsService = userDetailsService;
        }


        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.userDetailsService(userDetailsService);
        }


        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                    .authorizeRequests()

                    .mvcMatchers("/login").anonymous()
                    .mvcMatchers("/user/**").hasRole("USER")

                    .and()
                    .csrf().disable()
                    .formLogin()
                    .loginPage("/login")
                    .loginProcessingUrl("/login")
                    .defaultSuccessUrl("/")
                    .failureUrl("/login?error=true")
                    .usernameParameter("email")
                    .passwordParameter("password")

                    .and()
                    .exceptionHandling()
                    .accessDeniedPage("/403")

                    .and()
                    .logout()
                    .permitAll()
                    .logoutUrl("/logout")
                    .logoutSuccessUrl("/")

                    .invalidateHttpSession(true)
                    .deleteCookies("JSESSIONID");
        }


    }

用户详情

    package com.mytest.security;

    import com.mytest.model.User;
    import com.mytest.service.UserRepository;

    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.security.core.GrantedAuthority;
    import org.springframework.security.core.authority.SimpleGrantedAuthority;
    import org.springframework.security.core.userdetails.UserDetails;
    import org.springframework.security.core.userdetails.UserDetailsService;
    import org.springframework.security.core.userdetails.UsernameNotFoundException;
    import org.springframework.stereotype.Service;

    import java.util.ArrayList;
    import java.util.Collection;
    import java.util.List;

    @Service
    public class UserDetail implements UserDetailsService {

        @Autowired
        UserRepository userRepository;

        @Override
        public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {

            User user = userRepository.findUserByEmail(email);


            if (user == null){
                throw new UsernameNotFoundException("There is no such user " + email);
            }


            return new org.springframework.security.core.userdetails.User(
                    user.getEmail(),
                    user.getPassword(),
                    user.getEnabled(),
                    user.getAccount_non_expired(),
                    user.getCredentials_non_expired(),
                    user.getAccount_non_locked(),
                    getAuthorities());

        }


        private Collection<? extends GrantedAuthority> getAuthorities(){

            List<SimpleGrantedAuthority> authList = new ArrayList<>();
            authList.add(new SimpleGrantedAuthority("ROLE_USER"));

            return authList;

        }

    }

登录控制器

    package com.mytest.controller;

    import org.springframework.stereotype.Controller;
    import org.springframework.web.bind.annotation.GetMapping;

    @Controller
    public class LoginController {

        @GetMapping(value = "/login")
        public String loginGet () {

            // How do I get the user's email address here?

            return "login";
        }

    }

Answer 1

假设您使用提供的 UsernamePasswordAuthenticationFilter 并且没有对此进行任何覆盖，并且用户已经登录到您的系统；您可以按如下方式访问用户名：

@GetMapping(value = "/login")
public String loginGet (Authentication auth) {
    String username = auth.getName();
    return "login";
}

Spring 会自动在此处注入默认的身份验证令牌 UsernamePasswordAuthenticationToken。

---

编辑：似乎我把问题误认为已经登录了。如果这是登录失败问题，您可以执行以下操作：

第一步：新建一个AuthenticationException如下：

public class UserBlockedException extends UsernameNotFoundException {
    public UserBlockedException(String msg) {
        super(msg);
    }
} 

第 2 步：在 UserDetail @Service 类中抛出上述异常，并在用户被阻止时向用户显示消息。

第 3 步：在 login?error=true 表单中显示错误消息：

<div th:if="${param.error}">
  Login Failed. Reason: <span th:text="${session["SPRING_SECURITY_LAST_EXCEPTION"].message"></span> 
</div>

Spring Security 将使用默认的SimpleUrlAuthenticationFailureHandler 来处理您的错误。它会将您的异常保存为您在 thymeleaf 中访问的会话属性，如步骤 3 所示。

Answer 2

public static User getCurrentUser() {
    return (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
}

您需要配置一个实现 UserDetails 的新 User 类，并让 UserDetailService 的 loadUserByUsername 方法返回此 User 的实例。参考这个article。

编辑： 我误读了原帖。 jms 修改后的答案应该可以解决您的问题。

Answer 3

据我所知，当您使用 Spring Security 时，您不需要控制器 - UsernamePasswordAuthenticationFilter 在安全过滤器链中注册并执行身份验证工作。所以我想你可以检查它并相应地调整你的逻辑。 link