SpringSecurity过滤器WebAsyncManagerIntegrationFilter

最新推荐文章于 2023-01-17 19:34:09 发布
最新推荐文章于 2023-01-17 19:34:09 发布
阅读量417 收藏
点赞数
分类专栏: Spring Security 文章标签: java spring 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/122272802
版权

原文地址

我们从ThreadLocal讲起,ThreadLocal可以理解为一个与当前线程绑定的Map, key是当前线程,value是要存储的object。当我们在同一个线程中,可以通过get()方法获取到value。如果在A线程set(object),然后在B线程中调用get(),由于线程已切换,key是A,拿B自然取不出key为A的value。

对于一个SSO系统,我们常常把当前登录的用户相关信息放到ThreadLocal中,避免每次使用的时候都去调RPC接口或者DB接口去查询。Spring Security的SecurityContextHolder就是通过ThreadLocal实现的。

WebAsyncManager,Spring文档有这么一句话:The central class for managing asynchronous request processing, mainly intended as an SPI and not typically used directly by application classes. 它主要用于异步请求,笔者发现这个东西在spring mvc请求分发处理中用到很多,时间有限,笔者也没有深入的了解,我们的主要关注点是WebAsyncManagerIntegrationFilter。

public final class WebAsyncManagerIntegrationFilter extends OncePerRequestFilter {

	private static final Object CALLABLE_INTERCEPTOR_KEY = new Object();

	@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
			
		WebAsyncManager asyncManager = WebAsyncUtils.getAsyncManager(request);
		
		SecurityContextCallableProcessingInterceptor securityProcessingInterceptor = (SecurityContextCallableProcessingInterceptor) asyncManager.getCallableInterceptor(CALLABLE_INTERCEPTOR_KEY);
		
		if (securityProcessingInterceptor == null) {
			asyncManager.registerCallableInterceptor(CALLABLE_INTERCEPTOR_KEY,new SecurityContextCallableProcessingInterceptor());
		}

		filterChain.doFilter(request, response);
	}
}

SecurityContextCallableProcessingInterceptor,这个拦截器的关键作用,就是执行前后存储和清空SecurityContext,以便在WebAsyncTask异步调用中获取到SecurityContext,核心代码如下:

public final class SecurityContextCallableProcessingInterceptor extends
		CallableProcessingInterceptorAdapter {
	
	private volatile SecurityContext securityContext;


	public SecurityContextCallableProcessingInterceptor() {
	}

	public SecurityContextCallableProcessingInterceptor(SecurityContext securityContext) {
		Assert.notNull(securityContext, "securityContext cannot be null");
		setSecurityContext(securityContext);
	}

	@Override
	public <T> void beforeConcurrentHandling(NativeWebRequest request, Callable<T> task) {
		if (securityContext == null) {
			setSecurityContext(SecurityContextHolder.getContext());
		}
	}

	@Override
	public <T> void preProcess(NativeWebRequest request, Callable<T> task) {
		SecurityContextHolder.setContext(securityContext);
	}

	@Override
	public <T> void postProcess(NativeWebRequest request, Callable<T> task,
			Object concurrentResult) {
		SecurityContextHolder.clearContext();
	}

	private void setSecurityContext(SecurityContext securityContext) {
		this.securityContext = securityContext;
	}
}

笔者做了一个实践,分别一个Runnable和WebAsyncTask中尝试从SecurityContextHolder获取当前登录用户,AuthHolder只是对SecurityContextHolder进行封装,本质上还是调用的SecurityContextHolder.get()获取线程上下文信息,代码如下:

@GetMapping("/run_async_task")
    public Map<String,String> getContextByRunnable() throws Exception {
        System.out.println("main线程[{"+Thread.currentThread().getName()+"}]开始");
        Map<String,String> map = new HashMap<>();
        CountDownLatch latch = new CountDownLatch(1);
        Thread async = new Thread(() -> {
            try {
                System.out.println("Runnable异步线程[{"+Thread.currentThread().getName()+"}], 开始执行异步任务");
                Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
                if(null==authentication){
                    System.out.println("获取认证信息失败");
                }else {
                    String name = authentication.getName();
                    map.put("name",name);
                }
                
                System.out.println("Runnable异步线程[{"+Thread.currentThread().getName()+"}], 任务执行完成,当前用户是: "+map);
            } finally {
                latch.countDown();
            }
        });
        async.start();
        latch.await();
        System.out.println("main线程[{"+Thread.currentThread().getName()+"}]结束");
        return map;
    }
}

main线程[{http-nio-8081-exec-4}]开始
Runnable异步线程[{Thread-11}], 开始执行异步任务
获取认证信息失败
Runnable异步线程[{Thread-11}], 任务执行完成,当前用户是: {}
main线程[{http-nio-8081-exec-4}]结束

@GetMapping("/web_async_task")
public WebAsyncTask getContextByWebAsyncTask() {
       System.out.println("main线程[{"+Thread.currentThread().getName()+"}]开始");
       WebAsyncTask<String> task = new WebAsyncTask<>(300L, () -> {
           System.out.println("WebAsyncTask异步线程[{"+Thread.currentThread().getName()+"}], 开始执行异步任务");
           String name = SecurityContextHolder.getContext().getAuthentication().getName();

           System.out.println("WebAsyncTask异步线程[{"+Thread.currentThread().getName()+"}], 任务执行完成,当前用户是: "+name);
           return name;
       });
       System.out.println("main线程[{"+Thread.currentThread().getName()+"}]结束");
       return task;
}

main线程[{http-nio-8081-exec-6}]开始
main线程[{http-nio-8081-exec-6}]结束
WebAsyncTask异步线程[{task-1}], 开始执行异步任务
WebAsyncTask异步线程[{task-1}], 任务执行完成,当前用户是: user

可以看出,WebAsyncTask从SecurityContextHolder获取到了身份认证信息,但Runnable却不可以。WebAsyncTask之所以能够在异步线程中从SecurityContextHolder中获取上下文信息,与WebAsyncManagerIntegrationFilter的作用密不可分。

这是一条海鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security源码解析--WebAsyncManagerIntegrationFilter
程序员劝退师的博客
11-19 459
概述 此过滤器用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager。 源代码解析 package org.springframework.security.web.context.request.async; import java.io.IOException; import java.util.concurrent.Callable; import javax.servlet.FilterChain; import javax.servlet.Servl
[2] WebAsyncManagerIntegrationFilter
热门推荐
既无风雨也无晴
03-07 2万+
WebAsyncManagerIntegrationFilter 介绍 字面意思这是一个Web异步管理集成过滤器,翻译成中文依然很抽象。我们从ThreadLocal讲起,ThreadLocal可以理解为一个与当前线程绑定的Map, key是当前线程,value是要存储的object。当我们在同一个线程中,可以通过get()方法获取到value。如果在A线程set(object),然后在B线程中调...
WebAsyncManagerIntegrationFilter
mzr122的专栏
09-10 685
过滤器用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager。 package org.springframework.security.web.context.request.async; import java.io.IOException; import java.util.concurrent.Callable; import javax.servlet.FilterChain; import javax.servlet.ServletExcep
SpringSecurity之默认过滤器链的WebAsyncManagerIntegrationFilter(六)
欢谷悠扬
07-07 485
1.背景 在默认过滤器链中,总共有15个过滤器,它们每个都承载了不同的角色和功能。它的匹配也比较霸气是anyRequest。就是其他人都配不上的时候,我来接盘。 2.WebAsyncManagerIntegrationFilter是干什么的? WebAsyncManager 是一个异步请求管理器,主要就是针对异步请求如何能和同步请求一样对一些数据进行处理。 Spring Security在这里的WebAsyncManagerIntegrationFilter就是用来管理在异步请求中SecurityCon
6、spring security拦截器之WebAsyncManagerIntegrationFilter
u012153127的博客
06-24 301
WebAsyncManagerIntegrationFilter:主要是设置了SecurityContextCallableProcessingInterceptor拦截器。该拦截器是在处理前后设置或清除SecurityContext @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链机制和特性详解 Spring Security 过滤器链是 Spring Security 框架中的一种核心机制,负责处理 HTTP 请求的安全验证和授权。今天,我们将深入探讨 Spring Security 过滤器链的机制和特性,...
Spring Security常用过滤器实例解析
08-24
Spring Security 常用过滤器实例解析 Spring Security 是一个功能强大且灵活的安全框架,提供了许多实用的过滤器来帮助我们实现身份验证、授权和保护我们的应用程序。下面我们将介绍 15 个常用的 Spring Security ...
Spring Security CsrfFilter过滤器用法实例
08-25
Spring Security CsrfFilter 过滤器用法实例详解 Spring Security CsrfFilter 过滤器是一种用于防止跨站请求伪造(CSRF)的安全机制,它可以保护Web应用程序免受恶意攻击。下面将详细介绍 Spring Security ...
SpringSecurity学习之自定义过滤器的实现代码
08-26
"SpringSecurity学习之自定义过滤器的实现代码" Spring Security学习之自定义过滤器的实现代码主要介绍了Spring Security学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有...
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
Spring】抽丝剥茧SpringMVC-异步请求WebAsyncManager
beFocused的博客
01-23 1782
SpringMVC在执行完业务方法后要对其返回值进行处理,这项工作是在返回值处理器完成的。在SpringMVC支持的返回值处理器中有多种处理器会触发SpringMVC的WebAsyncManager机制,例如DeferredResultMethodReturnValueHandler、CallableMethodReturnValueHandler、AsyncTaskMethodReturnValueHandler等。今天我们聊聊WebAsyncManager机制。 WebAsyncMa...
Spring Security Web 5.1.2 源码解析 -- WebAsyncManagerIntegrationFilter
Details Inside Spring
12-16 2307
概述 此过滤器用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager。 源代码解析 package org.springframework.security.web.context.request.async; import java.io.IOException; import java.util.concurrent.Callable; impo...
springmvc源码学习(二十四)异步请求管理器WebAsyncManager初始化
码易的博客
10-10 1012
目录前言一、初始化二、使用步骤1.引入库2.读入数据总结 前言 。 一、初始化 (1)在请求到来时,会调用DispatcherServlet的doService方法,在调用该方法之前会进入FrameworkServlet的processRequest方法 protected final void processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, I..
springmvc源码学习(二十五)异步请求管理器WebAsyncManager异步任务初始化
码易的博客
10-12 425
目录前言一、示例二、原理1.引入库2.读入数据总结 前言 以接口的返回值为DeferredResult为例来分析一下WebAsyncManager的执行流程。 一、示例 @ApiOperation(value = "test", notes = "test") @GetMapping(value = "/test", produces = {MediaType.APPLICATION_JSON_VALUE}) public DeferredResult test() thr..
并发任务管理器AsyncTaskManager
weixin_30260399的博客
08-13 213
//-------------------------------------------------------------------------- // // Copyright (c) BUSHUOSX. All rights reserved. // // File: AsyncTaskManager.cs // // Version:1.1.0....
ruoyi-vue版本(三)AsyncManager 实现异步线程池的逻辑操作
一天不写代码难受的博客
01-17 1625
若依
Springmvc 中的WebAsyncManager 有什么应用场景
ice-wee的专栏
11-26 4329
原文链接:https://segmentfault.com/q/1010000009403867 在springmvc的DispatcherServlet的doDispatch中有这一行: WebAsyncManager asyncManager = WebAsyncUtils.getAsyncManager(request); 那么WebAsyncManager 的作用是什么?
浅谈java开启异步线程的几种方法(@Async,AsyncManager,线程池)
nhx900317的博客
06-27 1万+
java中异步线程很重要,比如在业务流处理时,需要通知硬件设备,发短信通知用户,或者需要上传一些图片资源到其他服务器这种耗时的操作,在主线程里处理会阻塞整理流程,而且我们也不需要等待处理结果之后再进行下一步操作,这时候就可以使用异步线程进行处理,这样主线程不会因为这些耗时的操作而阻塞,保证主线程的流程可以正常进行。 最近在项目中使用了很多线程的操作,在这做个记录。线程的操作,是java中最重要的部分之一,实现线程操作也有很多种方法,这里仅介绍几种常用的。在springboot框架中,可以使用注解简单实现线
springmvc源码学习(二十六)异步请求管理器WebAsyncManager异步任务执行流程
码易的博客
10-21 723
目录前言一、回顾二、异步任务分发异步任务执行2.读入数据总结 前言 接着上一篇进行分析,在异步任务创建完,那接下来springmvc会去处理该异步任务。 一、回顾 (1)上一篇中,在请求完接口,生成了一个调度任务dispatchTask,存储在HttpServerExchange中 dispatchTask: new Runnable() { @Override public void run() { exchan..
springSecurity过滤器
最新发布
09-20
Spring Security过滤器是一系列用于处理认证和授权的过滤器链。在Spring Security中,这些过滤器被组成一个FilterChainProxy对象,并且被称为SpringSecurityFilterChain。 异常转换过滤器(ExceptionTranslationFilter)是Spring Security过滤器链中的一个重要组成部分,用于处理整个链路中出现的异常。它负责将Spring Security的异常转换为适当的HTTP响应码,以及提供相应的错误信息。 除了异常转换过滤器,还有其他一些常用的Spring Security过滤器,例如认证过滤器(AuthenticationFilter)、授权过滤器(AuthorizationFilter)和访问控制过滤器(AccessControlFilter)。这些过滤器协同工作,保护应用程序并确保只有经过身份验证和授权的用户可以访问受限资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值