我应该在webapp中的spring/spring-security中存储用户ID密钥？

Question

一旦用户通过身份验证，我有一个对象userID。

哪里是使用Spring-Security（这是一个webapp）在Spring中存储这个地方的“最佳”地方？

• 会议似乎不雅，因为当时我有两个位置管理认证（需要特殊的代码来管理删除，当用户注销时无论什么原因，使sesion对象））
• 的currentContext.getAutentication（getDetails （...）似乎很复杂，因为它似乎为每个请求生成细节对象

有很多选项，但最好似乎在某处接近Spring-Security身份验证机制。

Answer 1

我不确定这个问题。您不必存储它。有多种方式来获得它。

1. SecurtiryContextHolder如果您需要的UserDetails对象
2. request.getRemoteUser（）如果你只需要登录ID的

Answer 2

我相信它强烈依赖于你使用userID的方式。

例如：如果您需要在您的业务服务层深处使用userID，并且到目前为止对业务服务器层没有任何关于Web应用程序的东西（Session，...）的了解，那么这将是明智的使用HttpSession，以保持它“免费的网络东西”。

答案： 您可以考虑的第三种方法是使用会话作用域bean。

Answer 3

我不相信验证细节是为每个请求创建的。我相信他们是每次认证创建一次。