从Thymeleaf向Controller传递未在视图中使用的值

本文旨在解决在使用Thymeleaf模板引擎和spring Security框架时，如何将当前登录用户的信息从视图传递到Controller，而无需在视图中直接使用或显示该信息。假设我们有一个修改密码的功能，用户已经登录，我们希望在Controller中获取当前用户的用户名，以便更新其密码。

使用 @AuthenticationPrincipal 注解

spring security提供了一个非常方便的注解@AuthenticationPrincipal，可以直接在Controller的方法参数中使用，用于获取当前认证用户的principal对象。 这个principal对象通常包含了用户的详细信息，例如用户名、权限等。

示例代码：

@PostMapping("/changePassword") public String updatePassword(@AuthenticationPrincipal MySecurityUser securityUser,                              @ModelAttribute("user") User user,                              Model model) {     model.addAttribute("user", user);     user.setPassword(passwordEncoder.encode(user.getPassword()));     userService.changeUserPassword(securityUser.getUsername(), user.getPassword());     return "display"; }

在这个例子中，MySecurityUser 是一个自定义的用户类，它实现了UserDetails接口，并包含了用户的用户名等信息。 @AuthenticationPrincipal MySecurityUser securityUser 这行代码会自动将当前登录用户的MySecurityUser对象注入到securityUser参数中。 然后，我们就可以通过securityUser.getUsername()来获取当前用户的用户名，并将其用于更新密码的操作。

注意事项：

1. 确定正确的Principal类型： MySecurityUser 只是一个示例，实际使用的类取决于你的Spring Security配置。 如果你不确定，可以将类型设置为 Object，然后在方法中打印出 securityUser.getClass().getName() 来确定实际的类名。
2. 自定义UserDetailsService： 通常情况下，你需要自定义一个 UserDetailsService 来加载用户的信息。 这个 UserDetailsService 负责从数据库或其他数据源中获取用户信息，并将其封装成 UserDetails 对象。
3. 依赖Spring Security： 确保你的项目中已经引入了Spring Security的依赖。

替代方案 (不推荐):

虽然 @AuthenticationPrincipal 是推荐的方式，但如果你由于某种原因无法使用它，也可以通过 SecurityContextHolder 来获取当前认证用户的principal对象。

import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.Authentication;  @PostMapping("/changePassword") public String updatePassword(@ModelAttribute("user") User user, Model model) {     Authentication authentication = SecurityContextHolder.getContext().getAuthentication();     String username = authentication.getName(); // 获取用户名      model.addAttribute("user", user);     user.setPassword(passwordEncoder.encode(user.getPassword()));     userService.changeUserPassword(username, user.getPassword());     return "display"; }

但是，使用 SecurityContextHolder 的代码可读性较差，并且容易出错，因此建议优先使用 @AuthenticationPrincipal。

总结

使用 @AuthenticationPrincipal 注解可以方便地在Controller中获取当前登录用户的信息，而无需在视图中传递这些信息。这不仅简化了代码，还提高了安全性，避免了在视图中暴露敏感信息。通过本文的介绍，你应该能够轻松地将当前登录用户的信息传递到Controller，并用于各种业务逻辑中。