SecurityContextHolder实现原理(策略模式和ThreadLocal)

最新推荐文章于 2024-08-15 08:19:06 发布
最新推荐文章于 2024-08-15 08:19:06 发布
阅读量3.9k 收藏 10
点赞数 1
分类专栏: Spring JDK 文章标签: java Spring Security ThreadLocal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CTPeng/article/details/110672548
版权
本文深入剖析了Spring Security中的SecurityContextHolder组件,它是保存认证信息的核心,利用策略模式和ThreadLocal实现线程安全的认证信息存储。讲解了SecurityContextHolder、SecurityContextHolderStrategy接口,特别是ThreadLocalSecurityContextHolderStrategy,以及ThreadLocal的工作原理,包括如何保存和获取线程局部变量。文章通过源码分析,帮助理解这两个技术在实际项目中的应用。
摘要由CSDN通过智能技术生成

SecurityContextHolder实现原理

SecurityContextHolder是SpringSecurity中保存认证信息的核心组件,重点是将给定的认证信息(SecurityContext)与当前执行线程关联。也就是说在同一个线程中可以通过该组件随时方便的获得认证信息,基本操作

//保存认证信息
SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
//获得认证信息
SecurityContextHolder.getContext().getAuthentication()

一、核心组件

1.1 SecurityContextHolder

SecurityContextHolder源码如下,为方便阅读,增加中文注释:


package org.springframework.security.core.context;

import org.springframework.util.ReflectionUtils;

import java.lang.reflect.Constructor;

/**
 * 将给定的SecurityContext与当前执行线程关联。该类的提供了一系列的静态方法,真正的实现者,均交由org.springframework.security.core.context.SecurityContextHolderStrategy的实现类来完成
 */
public class SecurityContextHolder {
   
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	//被委托者,采用策略模式
	private static SecurityContextHolderStrategy strategy;
	private static int initializeCount = 0;

//当类进行加载的时候,需要进行初始化操作
	static {
   
		initialize();
	}

	// ~ Methods
	// ========================================================================================================

	/**
	 * 从当前线程显式清除上下文值。
	 */
	public static void clearContext() {
   
		strategy.clearContext();
	}

	/**
	 * 从当前线程获得上下文值。值非空
	 */
	public static SecurityContext getContext() {
   
		return strategy.getContext();
	}

	/**
	 * 主要用于故障排除目的,此方法显示的次数已重新初始化SecurityContextHolderStrategy的次数
	 * 默认返回1
	 */
	public static int getInitializeCount() {
   
		return initializeCount;
	}

/**
该初始化方法就是实例化策略对象SecurityContextHolderStrategy
security内置三种策略来操作认证信息(SecurityContext),当然也可以通过设置策略名,来指定自定义的策略
 */
最低0.47元/天 解锁文章
seaWeedFS
关注
专栏目录
SecurityContextHolder和SecurityContext
也许是我送你哦
05-19 592
SecurityContextHolder.getContext().setAuthentication(authentication); 走源码,发现是ThreadLocal //当前线程 private static SecurityContextHolderStrategy strategy; public static SecurityContext getContext() { return strategy.getContext(); } ThreadLocalSecurityCon
核心组件之SecurityContextHolder
dieqiuxie4160的博客
08-04 648
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息。 上下文细节怎么表示? 用SecurityContext对象来表示 每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢? 存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityCo...
下面哪些是Security Context的设置项
最新发布
mischen520的博客
08-15 429
runAsUser:‌这个设置项用于指定容器默认用户的UID,‌确保容器以特定的用户身份运行,‌从而控制容器内的文件访问权限。sysctls:‌允许在容器中修改特定的系统调用参数,‌尽管只有一小部分的sysctls可以在每个容器的基础上进行修改,‌但这个设置项提供了对容器内部系统配置的精细控制。‌设置为false将不允许容器内的进程提升权限,‌增加了安全性。这些设置项共同构成了Security Context,‌旨在提供对容器运行环境的细粒度安全控制,‌确保容器化应用的安全性和隔离性。
SpringSecuritySecurityContextHolder详解
无限进步的博客
03-26 2663
SpringSecuritySecurityContextHolder详细解释
SecurityContextHolder解析
嘿!没错,我是李先生
02-19 3887
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户信息。 每个用户都有自己的SecurityContext,存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityContextHolder存储SecurityContext的方式: 1 单机系统:应用从开启到关闭的整个生命周期只有一个用户在使用。由于整个应用...
Spring Security 的基本组件 SecurityContextHolder
热门推荐
Details Inside Spring
08-10 3万+
Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContextHolder的工作原理 缺省工作模式 MODE_THREADLOCAL 我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么Securi...
acegi原理详细剖析
09-06
Acegi通过一系列组件和策略实现了上述的安全控制: - **Servlet过滤器**:用于保护URL资源,通过判断用户是否有权访问目标资源来决定放行与否。 - **Spring AOP**:Acegi利用AOP技术拦截受控方法,防止未授权访问,...
详解Spring Security的Web应用和指纹登录实践
08-26
SecurityContextHolder是存储SecurityContext的容器,提供了多种存储模式,如MODE_THREADLOCAL(默认,安全上下文存储在线程中)、MODE_INHERITABLETHREADLOCAL(子线程可以继承父线程的上下文)和MODE_GLOBAL(全局...
不是水文 ,没有人这样教过 Spring Security 和 OAuth 2.0
python6_quanzhan的博客
12-03 1389
在学习定制 Spring Security的过程中,阅读了 Spring Security 的官方文档、《Spring Security in action》和《OAuth 2 in action》后,并结合源码摸清了 Spring Security 的工作流程,把这些知识梳理成了图片和文字,花了我足足一个月,这没想到 Spring Security 也有这么多内容。 ????0 概览 0.1 流程分析 0.1.1 UserPasswordAuthentication 流程 假设要访问的接口为 /p
kylin query原理剖析
IT白吃男
01-18 2858
前言最近我们组负责数据建模的同学抱怨kylin的relization选择策略:同一个project下一条查询语句本来期望命中某一个cube的,结果系统却选择了其他cube。之前也有大概翻阅过kylin这块的实现源码,知道如果同一个project下如果有多个满足条件的的实现,会按照成本排序并选择成本最低的那个实现。对于成本这块的度量标准,没有做过多研究,于是带着问题,对这块源码进行了一次梳理。源码剖
SpringsecuritySecurityContextHolderStrategy
weixin_34343308的博客
08-19 683
2019独角兽企业重金招聘Python工程师标准>>> ...
[SpringSecurity5.6.2源码分析九]:SecurityContextHolder
qq_41662584的博客
09-15 214
【代码】[SpringSecurity5.6.2源码分析九]:SecurityContextHolder。
史上最简单的Spring Security教程(四十一):SecurityContextHolder及SecurityContextHolderStrategy详解
银河架构师的博客
11-25 6301
如何静态的、较为方便的获取当前系统已登录的用户的信息?这恐怕就要靠 Spring Security 框架的另外一个“著名”的组件类SecurityContextHolder了。 /** * Associates a given {@link SecurityContext} with the current execution thread. */ SecurityContextHolder类最核心的作用,便是将当前给定的 SecurityContext 与 当前执行线程绑定,从而方便...
SecurityContextHolder
Leon_Jinhai_Sun的博客
05-06 1838
SecurityContextHolder 用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在 Session 中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后,Spring Security 会将登录成功的用户信息保存到 SecurityContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLocal 来实现的,使用 ThreadLocal
SecurityContextHolder, SecurityContext and Authentication Objects
Stainky的专栏
10-12 1720
SecurityContextHolder, SecurityContext and Authentication Objects 最重要并且最根本的object是SecurityContextHolder,我们将当前应用security上下文的所有数据保存在里面,这些数据包括应用系统中使用的principle数据。SecurityContextHolder默认使用ThreadLocal局部变量
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值