Где я должен хранить ключ идентификатора пользователя в Spring / Spring-Security в веб-приложении?

Question

Как только пользователь проходит аутентификацию, у меня появляется Object ID пользователя.

Где находится «лучшее» место для хранения этого в Spring с помощью Spring-Security (это веб-приложение)?

• Сеанс кажется не элегантным, потому что тогда у меня есть два местоположения, управляющих аутентификацией (мне нужен специальный код для управления удалением объекта sesion, когда пользователь вышел из системы по любой причине)
• currentContext.getAutentication (). GetDetails (...) кажется сложным, потому что создается впечатление, что он генерирует подробный объект для каждого запроса

Существует много вариантов, но, похоже, лучший из них где-то рядом с механизмом аутентификации Spring-Security.

Answer 1

Я не верю, что данные аутентификации создаются для каждого запроса.Я считаю, что они создаются один раз за аутентификацию.

Answer 2

Я не уверен в этом вопросе. Вы не должны хранить это. Есть несколько способов получить его.

1. SecurtiryContextHolder, если вам нужен объект UserDetails
2. request.getRemoteUser (), если вам нужен только loginId

Answer 3

Я считаю, что это сильно зависит от того, как вы используете ID пользователя.

Например: если вам нужен идентификатор пользователя глубоко внутри вашего уровня бизнес-сервисов, а уровень бизнес-сервера реализован, вам ничего не нужно знать о веб-приложении.вещи (Session, ...) до сих пор, тогда было бы разумно не использовать HttpSession, чтобы он оставался «свободным от веб-материалов».

Кстати: третий подход, который вы можете принять во внимание,это использовать сессионный компонент области видимости.