SpringSecurity - SecurityContextHolder 源码分析

最新推荐文章于 2024-04-22 18:16:39 发布
最新推荐文章于 2024-04-22 18:16:39 发布
阅读量314 收藏
点赞数
分类专栏: # SpringSecurity 学习 文章标签: java SpringSecurity spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaohao0206/article/details/126473498
版权

概述

SecurityContextHolder 可以拆分为两个单词 SecurityContextHolderHolder 意思是 持有 的意思,所以 SecurityContextHolder 的大概意思就是这个类中存放了 SecurityContext。也就是说我们首先要知道 SecurityContext 是什么

SecurityContext

/**
 * Interface defining the minimum security information associated with the current thread
 * of execution.
 *
 * <p>
 * The security context is stored in a {@link SecurityContextHolder}.
 * </p>
 */
public interface SecurityContext extends Serializable {

	Authentication getAuthentication();

	void setAuthentication(Authentication authentication);

}

这个接口只有一个实现类 SecurityContextImpl,里面没什么内容,这里就不粘源码了。

从源码注释中我们知道,SecurityContext 是一个接口,这个接口定义了与当前执行的线程所关联的最小安全信息,接口定义了两个方法,setget,针对 Authentication

public interface Authentication extends Principal, Serializable {

	// 授权信息
	Collection<? extends GrantedAuthority> getAuthorities();

	Object getCredentials();

	Object getDetails();

	// 认证主体
	Object getPrincipal();
	
	boolean isAuthenticated();

	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

Authentication 继承自 Principal,而 PrincipalJava 提供的

Authentication 是请求认证成功后的令牌,里面包含了认证主体 Principal 和授权信息 Authorities。知道了这两个概念以后,接下来我们看一下 SecurityContextHolder

SecurityContextHolder

public class SecurityContextHolder {

	// 预设 3 种模式
	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";

	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";

	public static final String MODE_GLOBAL = "MODE_GLOBAL";

	// 可以系统变量中指定使用哪种模式
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	// 可以系统变量中指定使用哪种模式
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);

	// SecurityContext 的持有策略接口,也就是上面 3 中模式的功能接口定义
	private static SecurityContextHolderStrategy strategy;

	// 初始化次数
	private static int initializeCount = 0;

	// 1、第一步,会执行 initialize 方法
	static {
		initialize();
	}

	private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// Set default
			// 默认会设置为这种策略
			strategyName = MODE_THREADLOCAL;
		}
		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// Try to load a custom strategy
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}
		initializeCount++;
	}
	
	// 下面几个方式是定义的操作 SecurityContext 的方法,主要是对 SecurityContext 的增删改查
	public static void clearContext() {
		strategy.clearContext();
	}

	public static SecurityContext getContext() {
		return strategy.getContext();
	}

	public static int getInitializeCount() {
		return initializeCount;
	}

	public static void setContext(SecurityContext context) {
		strategy.setContext(context);
	}

	public static void setStrategyName(String strategyName) {
		SecurityContextHolder.strategyName = strategyName;
		initialize();
	}

	public static SecurityContextHolderStrategy getContextHolderStrategy() {
		return strategy;
	}
	public static SecurityContext createEmptyContext() {
		return strategy.createEmptyContext();
	}

	@Override
	public String toString() {
		return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount=" + initializeCount + "]";
	}

}

SecurityContextHolder 的源码中我们知道默认是使用 ThreadLocalSecurityContextHolderStrategy 这种模式,也就是说底层是使用 ThreadLocal 来存储 SecurityContext 的。

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

	@Override
	public void clearContext() {
		contextHolder.remove();
	}

	@Override
	public SecurityContext getContext() {
		SecurityContext ctx = contextHolder.get();
		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}
		return ctx;
	}

	@Override
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}

	@Override
	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}

}

源码比较简单,没什么内容,就不做过多介绍了。

总结

以上就是关于 SecurityContextHolder 的相关源码阅读,通过分析我们知道:

  • SecurityContextHolder 为每一个执行中的线程关联了 SecurityContext
  • 在认证通过之后,应该通过 SecurityContextHolder 来设置 SecurityContext
  • 我们可以指定 SecurityContext 的存储策略,也可以自定义存储策略
云原生.乔豆麻袋.cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity安全认证流程分析
aaa_bbb_ccc_123_456的博客
11-05 2320
基于SpringSecurity表单登陆进行分析 项目基础搭建略过 SpringSecurity安全认证基于一系列过滤器,表单提交,请求进入后端AbstractAuthenticationProcessingFilter过滤器doFilter方法 根据请求不同选择不同过滤器,表单提交选择UsernamePasswordAuthenticationFilter,之后具体流程为: 一步步分析,...
SpringSecurity分析-登录认证
u011439259的博客
09-16 328
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
SpringSecurity SecurityContextHolder&SecurityContext
Claroja
03-22 707
SecurityContextHolder用来存储一次访问的用户信息 SecurityContextHolder通过ThreadLocal来实现,所以是线程安全的 SecurityContextHolder包含了SecurityContext,而SecurityContext包含Autherntication. SecurityContext context = SecurityContextHolder.createEmptyContext(); Authentication authenticati.
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 1925
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
Spring Security(学习笔记)-SecurityContextHolder
最新发布
TONGZHOUGONGDU的博客
04-22 1065
匿名访问,多线程获取用户信息。
SpringSecuritySecurityContextHolder详解
无限进步的博客
03-26 2530
SpringSecuritySecurityContextHolder详细解释
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 2万+
简介 1)SecurityContextHolderSpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
spring-security SecurityContextHolder
m13012606980的专栏
02-06 1204
翻译版本【spring-security 6.2.1】SecurityContextHolder
Spring_Security3_分析
06-22
总结,Spring Security 3的分析是一个深度学习的过程,涵盖了安全领域的多个方面。通过理解其内部工作机制,开发者可以更好地利用这一强大的框架,为应用程序提供安全的保障。同时,分析也能帮助开发者解决...
spring-security-3.1.x.zip 码下载
11-28
4. **分析**: 通过码可以深入了解Spring Security的工作流程,例如: - 查看`AbstractAuthenticationProcessingFilter`,了解如何处理登录请求。 - 分析`FilterSecurityInterceptor`,理解授权过程中的...
spring security 3.1.3 码含sample
11-17
综上,Spring Security 3.1.3码的分析和学习,可以帮助开发者深入理解Web安全原理,掌握如何利用这个强大的框架来保护应用程序免受攻击。通过对码的研究,可以更清晰地了解其内部工作方式,从而更好地进行定制化...
springsecurity码(鉴权有缺陷)
05-20
然而,正如标题所提及的,Spring Security 的码可能存在鉴权缺陷。这个话题涉及到多个知识点,包括Spring Security的基本架构、鉴权流程、潜在的安全风险以及如何修复这些问题。 1. **Spring Security 基本架构**...
spring security
05-28
本篇文章将深入探讨Spring Security的核心概念和分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
SpingSecurity框架重要知识点(理解)
tigerhhzz的博客
05-10 440
一,SpingSecurity本质是一个过滤器链(11个过滤器) 1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到Se
Spring中SecurityContextHolder的异步使用解说
IT- 研究者
09-17 1439
Spring中SecurityContextHolder的异步使用解说
SpringSecurity(七)用户数据获取之SpringSecurityContextHolder深度剖析(上)
陈橙橙
03-11 3850
登录用户数据获取 登录成功之后,在后续的业务逻辑中,我们可能还需要获取登录成功用户的用户对象,如果我们不使用任何安全框架,我们可以将用户信息保存在HttpSession中,需要的话就从HttpSession中获取数据。在SpringSecurity中,用户登录信息本质上还是保存在HttpSession中,但是为了方便使用,SpringSecurity对HttpSession中的用户信息进行了封装,封装之后,我们在想获取用户登录数据就会有两种不同的思路: 从SecurityContextHolder中获取
SpringSecurity---SecurityContextHolder详解
池海
03-13 1万+
巴拉巴拉: 之前在使用SpringSecurity的过程中并没有把很多东西理解透彻,找了很多学习资料也都只是是很浅显了告诉你怎么使用这个东西。现在只能自己回过头来研究研究。。。。终究是一个人扛下了所有/(ㄒoㄒ)/~~。GO,现在越看spring码越觉得里面注释是真的详细,虽然英语很菜耐不住有翻译哈哈哈。 介绍: 看了几篇大佬的技术博客里面都介绍到,SecurityContextHolder是保...
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的分析
qq_63691275的博客
06-03 2278
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
SecurityContextHolder
weixin_57128596的博客
09-14 2551
SecurityContextHolder是Spring Security的一个组件,其实它是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。(62条消息) ThreadLocal_Fairy要carry的博客-CSDN博客使用了ThreadLocal机制来保存每个使用者的安全上下文。根据Servlet规范,一个的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。
spring security 码读取顺序
07-08
Spring Security 是一个用于身份验证和授权的框架,它的码读取顺序可以大致分为以下几个步骤: 1. 加载配置文件:Spring Security 使用 XML 或 Java Config 的方式进行配置,首先会加载配置文件,获取安全配置的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值