SecurityContextHolder实现原理(策略模式和ThreadLocal)

最新推荐文章于 2024-08-15 08:19:06 发布
最新推荐文章于 2024-08-15 08:19:06 发布
阅读量3.9k 收藏 10
点赞数 1
分类专栏: Spring JDK 文章标签: java Spring Security ThreadLocal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CTPeng/article/details/110672548
版权
本文深入剖析了Spring Security中的SecurityContextHolder组件,它是保存认证信息的核心,利用策略模式和ThreadLocal实现线程安全的认证信息存储。讲解了SecurityContextHolder、SecurityContextHolderStrategy接口,特别是ThreadLocalSecurityContextHolderStrategy,以及ThreadLocal的工作原理,包括如何保存和获取线程局部变量。文章通过源码分析,帮助理解这两个技术在实际项目中的应用。
摘要由CSDN通过智能技术生成

SecurityContextHolder实现原理

SecurityContextHolder是SpringSecurity中保存认证信息的核心组件,重点是将给定的认证信息(SecurityContext)与当前执行线程关联。也就是说在同一个线程中可以通过该组件随时方便的获得认证信息,基本操作

//保存认证信息
SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
//获得认证信息
SecurityContextHolder.getContext().getAuthentication()

一、核心组件

1.1 SecurityContextHolder

SecurityContextHolder源码如下,为方便阅读,增加中文注释:


package org.springframework.security.core.context;

import org.springframework.util.ReflectionUtils;

import java.lang.reflect.Constructor;

/**
 * 将给定的SecurityContext与当前执行线程关联。该类的提供了一系列的静态方法,真正的实现者,均交由org.springframework.security.core.context.SecurityContextHolderStrategy的实现类来完成
 */
public class SecurityContextHolder {
   
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	//被委托者,采用策略模式
	private static SecurityContextHolderStrategy strategy;
	private static int initializeCount = 0;

//当类进行加载的时候,需要进行初始化操作
	static {
   
		initialize();
	}

	// ~ Methods
	// ========================================================================================================

	/**
	 * 从当前线程显式清除上下文值。
	 */
	public static void clearContext() {
   
		strategy.clearContext();
	}

	/**
	 * 从当前线程获得上下文值。值非空
	 */
	public static SecurityContext getContext() {
   
		return strategy.getContext();
	}

	/**
	 * 主要用于故障排除目的,此方法显示的次数已重新初始化SecurityContextHolderStrategy的次数
	 * 默认返回1
	 */
	public static int getInitializeCount() {
   
		return initializeCount;
	}

/**
该初始化方法就是实例化策略对象SecurityContextHolderStrategy
security内置三种策略来操作认证信息(SecurityContext),当然也可以通过设置策略名,来指定自定义的策略
 */
最低0.47元/天 解锁文章
seaWeedFS
关注
专栏目录
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 3万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
SecurityContextHolder
weixin_57128596的博客
09-14 2886
SecurityContextHolder是Spring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
下面哪些是Security Context的设置项
最新发布
mischen520的博客
08-15 431
runAsUser:‌这个设置项用于指定容器默认用户的UID,‌确保容器以特定的用户身份运行,‌从而控制容器内的文件访问权限。sysctls:‌允许在容器中修改特定的系统调用参数,‌尽管只有一小部分的sysctls可以在每个容器的基础上进行修改,‌但这个设置项提供了对容器内部系统配置的精细控制。‌设置为false将不允许容器内的进程提升权限,‌增加了安全性。这些设置项共同构成了Security Context,‌旨在提供对容器运行环境的细粒度安全控制,‌确保容器化应用的安全性和隔离性。
SpringSecuritySecurityContextHolder详解
无限进步的博客
03-26 2672
SpringSecuritySecurityContextHolder详细解释
SpringSecurity(七)用户数据获取之SpringSecurityContextHolder深度剖析(上)
陈橙橙
03-11 3986
登录用户数据获取 登录成功之后,在后续的业务逻辑中,我们可能还需要获取登录成功用户的用户对象,如果我们不使用任何安全框架,我们可以将用户信息保存在HttpSession中,需要的话就从HttpSession中获取数据。在SpringSecurity中,用户登录信息本质上还是保存在HttpSession中,但是为了方便使用,SpringSecurity对HttpSession中的用户信息进行了封装,封装之后,我们在想获取用户登录数据就会有两种不同的思路: 从SecurityContextHolder中获取
Spring Security:安全上下文持有者SecurityContextHolder介绍与Debug分析
kaven
01-23 5234
SecurityContextHolder 将给定的SecurityContext与当前执行线程相关联,此类提供了一系列委托给SecurityContextHolderStrategy实例的静态方法,此类的目的是提供一种方便的方法来指定应该用于给定JVM的策略,这是JVM范围的设置,因为此类中的所有内容都是static修饰,方便调用。 要指定使用哪种策略,必须提供模式设置,模式设置是定义为static final字段的三个有效设置之一,或者是提供公共无参构造方法的SecurityContextHolderS
Java学习资料-springboot实现登录功能详细教程和代码
11-08
本文将深入探讨如何在Spring Boot项目中实现登录功能,主要使用Spring Security,这是一个强大的安全框架,能够轻松地处理身份验证和授权。 **1. 引入依赖** 在Spring Boot项目中,首先需要添加Spring Security和...
SpringSecurity之JWT实现token认证和授权.zip
08-09
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。...通过理解这两个组件的工作原理和交互方式,开发者能够为Web应用提供强大且灵活的身份验证和授权功能。
acegi原理详细剖析
09-06
通过深入理解其核心原理和组件作用,开发者能够更好地在基于Spring的应用中实施安全策略,确保系统的安全性与稳定性。Acegi不仅简化了安全控制的实现过程,还为构建复杂的安全体系结构提供了坚实的基础。
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和...在实际应用中,开发者可以根据具体的安全需求,自定义认证方式和过滤器链,以及扩展或替换特定的实现类,从而在Spring应用程序中实现灵活和强大的安全控制。
spring-security SecurityContextHolder
m13012606980的专栏
02-06 1394
翻译版本【spring-security 6.2.1】SecurityContextHolder
Spring Security(学习笔记)-SecurityContextHolder!
TONGZHOUGONGDU的博客
04-22 1975
匿名访问,多线程获取用户信息。
[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
qq_41662584的博客
09-15 215
【代码】[SpringSecurity5.6.2源码分析九]:SecurityContextHolder。
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2436
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 1994
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
SecurityContextHolder解析
嘿!没错,我是李先生
02-19 3888
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户信息。 每个用户都有自己的SecurityContext,存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityContextHolder存储SecurityContext的方式: 1 单机系统:应用从开启到关闭的整个生命周期只有一个用户在使用。由于整个应用...
Spring Security 身份验证的基本类/架构
swadian2008的博客
07-24 1215
用作验证用户凭据的基本过滤器。在对凭证进行身份验证之前,Spring Security 通常会使用来请求凭证。doFilter 源码】//总流程//身份认证过滤器的处理流程if (!} else {try {//1- 尝试进行身份验证return;//2-如果验证成功,创建新会话,更新sessionId//3-调用认证成功后处理流程//4-调用认证失败后处理流程//4-调用认证失败后处理流程接下来,可以对提交给它的任何身份验证请求进行身份验证。
SecurityContextHolder详解
小汤圆
08-10 4447
SecurityContextHolder
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值