SpringSecurity源码4-安全上下文

已于 2024-04-28 09:13:59 修改
阅读量383 收藏 8
点赞数 5
文章标签: java spring
于 2024-04-18 14:00:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moernagedian/article/details/137914344
版权

SecurityContext.class
当前线程关联的最小安全信息,提供Authentication的get/set方法,实际上就是存储"当前用户"账号信息和相关权限。

在这里插入图片描述

SecurityContextHolder.class
SecurityContext的持有器

	// 全部委托给策略类
	public static void setContext(SecurityContext context) {
		strategy.setContext(context);
	}
	public static SecurityContext getContext() {
		return strategy.getContext();
	}
	public static void clearContext() {
		strategy.clearContext();
	}

SecurityContextHolderStrategy.class
用于针对线程存储安全上下文信息的策略。

在这里插入图片描述
核心实现类ThreadLocalSecurityContextHolderStrategy
在这里插入图片描述

ThreadLocalSecurityContextHolderStrategy.class
基于ThreadLocal 的实现SecurityContextHolderStrategy。
在这里插入图片描述

回到SecurityContextHolder.class方法

	static {
		initialize();
	}

	private static void initialize() {
		initializeStrategy();
		initializeCount++;
	}
	
	private static void initializeStrategy() {
		if (MODE_PRE_INITIALIZED.equals(strategyName)) {
			Assert.state(strategy != null, "When using " + MODE_PRE_INITIALIZED
					+ ", setContextHolderStrategy must be called with the fully constructed strategy");
			return;
		}
		// 默认的话就是上文提到的ThreadLocalSecurityContextHolderStrategy
		if (!StringUtils.hasText(strategyName)) {
			// Set default
			strategyName = MODE_THREADLOCAL;
		}
		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
			return;
		}
		if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
			return;
		}
		if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
			return;
		}
		// Try to load a custom strategy
		try {
			Class<?> clazz = Class.forName(strategyName);
			Constructor<?> customStrategy = clazz.getConstructor();
			strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
		}
		catch (Exception ex) {
			ReflectionUtils.handleReflectionException(ex);
		}
	}

SecurityContextRepository.class
用于在请求之间持久保存的策略 SecurityContext
可以通过redis实现单点登录问题

public interface SecurityContextRepository {

	// 废弃
	@Deprecated
	SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder);

	
	default Supplier<SecurityContext> loadContext(HttpServletRequest request) {
		return SingletonSupplier.of(() -> loadContext(new HttpRequestResponseHolder(request, null)));
	}

	void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response);

	boolean containsContext(HttpServletRequest request);

}

SecurityContextHolderFilter.class
使用 获取 SecurityContextRepository SecurityContext 并将其设置在 SecurityContextHolder上的 的 。javax.servlet.Filter这与 类似SecurityContextPersistenceFilter,只是必须显式调用 来SecurityContextRepository.saveContext(SecurityContext, HttpServletRequest, HttpServletResponse)保存 SecurityContext.这提高了效率,并通过允许不同的身份验证机制单独选择是否应保留身份验证来提供更好的灵活性。



public class SecurityContextHolderFilter extends OncePerRequestFilter {

	private final SecurityContextRepository securityContextRepository;

	private boolean shouldNotFilterErrorDispatch;

	/**
	 * Creates a new instance.
	 * @param securityContextRepository the repository to use. Cannot be null.
	 */
	public SecurityContextHolderFilter(SecurityContextRepository securityContextRepository) {
		Assert.notNull(securityContextRepository, "securityContextRepository cannot be null");
		this.securityContextRepository = securityContextRepository;
	}

	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		SecurityContext securityContext = this.securityContextRepository.loadContext(request).get();
		try {
			SecurityContextHolder.setContext(securityContext);
			filterChain.doFilter(request, response);
		}
		finally {
			SecurityContextHolder.clearContext();
		}
	}

	@Override
	protected boolean shouldNotFilterErrorDispatch() {
		return this.shouldNotFilterErrorDispatch;
	}

	public void setShouldNotFilterErrorDispatch(boolean shouldNotFilterErrorDispatch) {
		this.shouldNotFilterErrorDispatch = shouldNotFilterErrorDispatch;
	}

}

OncePerRequestFilter .class
每次请求只执行一次filter

SecurityContextConfigurer.class

在这里插入图片描述

@Override
	@SuppressWarnings("unchecked")
	public void configure(H http) {
		SecurityContextRepository securityContextRepository = getSecurityContextRepository();
		if (this.requireExplicitSave) {
			SecurityContextHolderFilter securityContextHolderFilter = postProcess(
					new SecurityContextHolderFilter(securityContextRepository));
			http.addFilter(securityContextHolderFilter);
		}
		else {
		// 由框架帮你去构建filter
			SecurityContextPersistenceFilter securityContextFilter = new SecurityContextPersistenceFilter(
					securityContextRepository);
			SessionManagementConfigurer<?> sessionManagement = http.getConfigurer(SessionManagementConfigurer.class);
			SessionCreationPolicy sessionCreationPolicy = (sessionManagement != null)
					? sessionManagement.getSessionCreationPolicy() : null;
			if (SessionCreationPolicy.ALWAYS == sessionCreationPolicy) {
				securityContextFilter.setForceEagerSessionCreation(true);
				http.addFilter(postProcess(new ForceEagerSessionCreationFilter()));
			}
			securityContextFilter = postProcess(securityContextFilter);
			http.addFilter(securityContextFilter);
		}
	}
moernagedian
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security获取用户信息
weixin_58276266的博客
07-26 1573
回话状态分析与实践 HTTP超文本传输协议,并且是一个没有状态的协议,服务器不会通过协议获取状态,那么在服务器存储一个回话(session)机制,是专门用来识别哪个客户端发起的请求; 具体的原理 : 就是在客户端登录成功之后,服务器会创建一个回话,存储用户登录信息,然后服务器在创建一个cookie,但是会存储到客户端,然后在根据请求(携带cookie)进行交互; 流程图 问题: 1)用户登录成功以后信息存储到了哪里 答:当点击登录的时候底层会将登录信息存储到session里面,session是在服务器端存
Spring Security源码剖析从入门到精通.跟学尚硅谷
星哲最开心
05-29 1482
Spring Security源码剖析从入门到精通.跟学尚硅谷
SpringSecurity源码学习(一)
仔哥学编程
12-09 404
记录笔者学习SpringSecurity的全过程
SpringSecurity入门01(含源码
栋幺栋幺-的博客
04-10 668
SpringSecurity源码浅析,环境:SpringBoot 2.1 + Mybatis + Spring Security 5.0
Spring Security源码
最新发布
moernagedian的博客
03-17 541
WebSecurityConfigurerAdapter已废弃,官方推荐使用HttpSecurity 或WebSecurity。new DebugFilter(filterChainProxy)对filterChainProxy进行装饰。可以通过@EnableWebSecurity(debug = true)开启debug模式。都继承了SecurityBuilder。
spring-security-web源码所需jar包
12-03
它们分别处理不同的安全任务,如保持会话中的安全上下文,处理登出请求,以及处理用户的登录认证等。 为了能够运行和理解Spring Security Web的源码,我们需要以下jar包: 1. **spring-context-3.1.2.RELEASE.jar*...
spring security 源码
05-28
- `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示用户的身份和其权限,包含用户名、密码以及角色等信息。 - `Authorization`: ...
springsecurity源码(鉴权有缺陷)
05-20
Spring Security 由多个组件构成,包括过滤器链、访问决策管理器、安全上下文持有者等。核心组件是`DelegatingFilterProxy`,它是一个Servlet过滤器,用于代理其他Spring Bean(如`...
SpringSecurity源码
05-29
在学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...
Spring Security架构以及源码详析
08-27
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。它提供了一套完整的解决方案,确保...深入研究Spring Security源码,将有助于你更好地定制和优化安全策略,提升应用的安全性。
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1367
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2360
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
为什么已经有了ThreadLocal,还需要SecurityContextHolder呢?
MADAO的博客
12-03 469
1、SecurityContextHolder类内部可以理解成一个Thread Local集合2、它是一个静态类,可以用来访问不同线程之间的数据3、它在ThreadLocal上进行了更高级的封装。通过前面3点已经可以知道为什么要有ThreadLocal了,再提出一个问题,
Spring Security源码解析(一)
qq_40577332的博客
05-30 3302
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
WebLogic 通过数据库的方式实现Session共享的配置
dqp2012的博客
08-28 4294
1. 配置准备 1) 要配置JDBC的方式复制Session,主要为下面三个步骤 (1)在数据库中创建表 (2)创建对数据库具有读/写权限的连接池 (3)在weblogic.xml 部署描述符中配置会话持久性 2) 配置会话的持久性的示例如下: jdbc MYSQL wl_servlet_sessions  可选参数如下。 ①
SpringSecurity如何设置和修改登录态
xsgnzb的专栏
04-02 1369
通过更新和,我们就能完整更新中的用户信息。如果项目中引入了Spring Session,Spring Session维护的登录态也会同步更新。
springsecurity的自定义用户详细信息服务
jiang2360的博客
08-05 335
Spring Security 中用于加载用户信息的核心接口。在 Spring Security 中,你可以通过创建一个实现了。你可以使用 Spring Security 提供的。如果你选择自定义,那么你的类需要提供。接口定义的方法,包括获取用户名、密码、权限等。需要怎么做,流程是什么,需要实现哪些接口/类。接口的类来自定义用户详细信息服务。在这个配置中,我们首先注入了。类或者自定义一个实现了。
SessionCreationPolicy 枚举常量
weixin_33877092的博客
06-09 4108
2019独角兽企业重金招聘Python工程师标准>>> ...
springsecurity中anonymous_Spring Security---安全管理框架(三)
06-11
Spring Security是一个功能强大的安全管理框架,提供了多种身份验证和授权机制,可以在Web应用程序中轻松地实现安全保护。 其中,anonymous身份验证是一种简单的身份验证方式,即允许未经身份验证的用户访问某些受...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值