Spring Security核心组件之安全上下文

最新推荐文章于 2024-06-14 17:45:13 发布
最新推荐文章于 2024-06-14 17:45:13 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: Spring Security 文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/122290308
版权
1、安全上下文

Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息(其实就是用于代表访问者账号的有关信息)。

public interface SecurityContext extends Serializable {
	Authentication getAuthentication();
	void setAuthentication(Authentication authentication);
}

Spring Security为接口SecurityContext提供的缺省实现SecurityContextImpl,该实现逻辑其实很简单,主要就是保持一个Authentication`对象

2、安全上下文管理器

当一个线程在服务用户期间,该安全上下文对象会保存在SecurityContextHolder中。

public class SecurityContextHolder {
	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	private static SecurityContextHolderStrategy strategy;//默认是ThreadLocalSecurityContextHolderStrategy
	private static int initializeCount = 0;

	static {
		initialize();
	}
	//忽略代码....
	
	private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// Set default
			strategyName = MODE_THREADLOCAL;
		}

		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// Try to load a custom strategy
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}

		initializeCount++;
	}
	//忽略代码....
}

SecurityContextHolder类提供的功能是保持SecurityContext,不过它的用法不是让使用者创建多个SecurityContextHolder对象,而是提供一组公开静态工具方法。其底层是感觉系统变量spring.security.strategy的值来判断使用何种策略SecurityContextHolderStrategy

SecurityContextHolder 类有2种方式初始化 SecurityContextHolderStrategy。

其一,通过其静态方法setStrategyName。

public static void setStrategyName(String strategyName) {
    SecurityContextHolder.strategyName = strategyName;
    initialize();
}

其二,通过设置属性值 spring.security.strategy。

public static final String SYSTEM_PROPERTY = "spring.security.strategy";
private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
3、安全上下文生成器
public interface SecurityContextHolderStrategy {
	void clearContext();

	SecurityContext getContext();

	void setContext(SecurityContext context);

	SecurityContext createEmptyContext();
}

在这里插入图片描述
线程本地模式

对应用中的某个线程保持一个SecurityContext,这种模式下,应用中的每个线程同一时间通过SecurityContextHolder访问到的都是关于自己线程的SecurityContext;

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
	
	//使用ThreadLocal存储安全上下文
	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

	public void clearContext() {
		contextHolder.remove();
	}

	public SecurityContext getContext() {
		SecurityContext ctx = contextHolder.get();
		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}
		return ctx;
	}
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}
	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}
}

线程继承模式

InheritableThreadLocal 相较于 ThreadLocal,多了子线程可以继承父线程的属性的特性,但是,针对普通WEB应用,应该是英雄无用武之地。

final class InheritableThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
	
	private static final ThreadLocal<SecurityContext> contextHolder = new InheritableThreadLocal<>();
    //忽略代码.....
}

全局模式

对整个应用公开保持一个SecurityContext,这种模式下,应用中的多个线程同一时间通过SecurityContextHolder访问到的都会是同一个SecurityContext对象;

final class GlobalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static SecurityContext contextHolder;

	public void clearContext() {
		contextHolder = null;
	}

	public SecurityContext getContext() {
		if (contextHolder == null) {
			contextHolder = new SecurityContextImpl();
		}

		return contextHolder;
	}

	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder = context;
	}

	public SecurityContext createEmptyContext() {
		return new SecurityContextImpl();
	}
}
4、安全上下文生成器的自定义
public class MySecurityContextHolderStrategy implements SecurityContextHolderStrategy {

    private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

    public void clearContext() {
        contextHolder.remove();
    }

    public SecurityContext getContext() {
        SecurityContext ctx = contextHolder.get();

        if (ctx == null) {
            ctx = createEmptyContext();
            contextHolder.set(ctx);
        }

        return ctx;
    }

    public void setContext(SecurityContext context) {
        Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
        contextHolder.set(context);
    }

    public SecurityContext createEmptyContext() {
        return new SecurityContextImpl();
    }
}

MySecurityContextHolderStrategy的注册

@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    static {
        SecurityContextHolder.setStrategyName("learinning.securityextend.MySecurityContextHolderStrategy");
    }
   //忽略代码....
}

测试

@RestController
@RequestMapping("demo")
public class DemoController {



    @GetMapping("test")
   // @RolesAllowed({"admin"})
    public String test1(){
        SecurityContextHolderStrategy context = SecurityContextHolder.getContextHolderStrategy();
        return "test1";
    }
}

在这里插入图片描述

这是一条海鱼
关注
专栏目录
【网络安全Spring Security 安全框架基本原理及使用方法
等风来
05-27 1万+
Spring Security 是一个基于 Spring 框架的安全性框架,它提供了许多针对身份验证(Authentication)和访问控制(Authorization)方面的功能,帮助开发人员保护和管理应用程序的安全性。综上所述,Spring Security 是一款强大、功能丰富的安全管理框架,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Selinux安全上下文详解
weixin_34257076的博客
11-22 1876
SELinux介绍DAC:自由访问控制MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将...
SpringSecurity(八)--SecurityContext安全上下文
学习不止境的博客
10-20 4345
本节我们将讨论安全上下文,我们将分析它是如何工作的、如何从其中访问数据,以及应用程序如何在具有不同的与线程有关的场景中管理它。一般来说,我们为了让后续程序能够使用验证通过人员的信息,都会使用到它,比如编写一个SecurityUtils用来获取用户信息是经常用到的,那么学习它后,你就可以使用安全上下文存储关于已验证用户的详细信息了。
什么是安全上下文Security Context)?
lixinms的专栏
01-07 1万+
安全上下文指的是一类定义某个进程允许做什么的许可和权限的集合。Windows中的安全上下文是通过登录会话(Logon Session)定义的,并通过访问令牌维护。顾名思义,登录会话表示某个用户在某台计算机上的某次会话过程。开发者可以通过访问令牌与登录会话进行交互。访问令牌所有用的许可和权限可以与登录会话的不同,但始终是它的一个子集。安全上下文的概念范围是很广的,权限、特权、访问令牌、完整性等级等等
安全上下文
ly的博客
03-07 815
安全上下文 1.selinux的disable和enforcing,以及永久设定     mkdir /westos     touch /westos/file     vim /etc/vsftpd/vsftpd.conf         anon_root=/westos          lftp 172.25.254.119     ls之后无法查看到/westos
安全上下文(进程)
weixin_34258782的博客
05-08 263
为什么80%的码农都做不了架构师?>>> ...
【第七篇】SpringSecurity核心组件核心过滤器
最新发布
筱白爱学习!的博客
06-14 1153
SpringSecurity中的核心组件核心过滤器SecurityContextPersistenceFilter和CsrfFilter过滤器详解
20个SpringSecurity框架核心组件详解
威哥爱编程,CSDN 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1136
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息和权限信息。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
RHCSA篇 安全上下文
undefineing的博客
04-27 235
我们都知道vim 是可执行程序,那vim执行后变为成什么呢? 没错,会进入内存成为进程。 而我们要用vim修改文件,可知有的文件的权限,会限制你修改,那么它怎么知道你的权限?你现在只是个进程啊? 这是因为进程上有你,或者说有你账号的标记,在你账号执行vim的一瞬间,该账号就成了vim进程的属主,而进程的权限均来源于属主。
kubernetes--安全上下文Security Context)
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
linux的安全上下文
qq_41961805的博客
01-26 2568
什么是安全上下文安全上下是一个访问控制属性,是selinux中的重要组成部分,在进行移动时,不会改变文件的属性和权限,而复制的过程会改变文件的属性,而安全上下文是一个访问的凭证,特定的文件被特定的程序访问,安全上下文会关闭系统认为不安全的功能,当安全上下文相匹配时才允许访问。 安全上下文的作用 vim /etc/sysconfig/selinux 把selinux改为enforcing模式...
关于Spring Security 对于每一次请求是如何初始化上下文
qiujing0907的博客
10-10 533
我们所能做的优化,就是让这个认证或者校验的过程尽量快速,所以Spring Security也提供了缓存形式的查询实现,以提高效率。像上述的猜想,我们一般都能想到,这可能是线程隔离造成的,这突然让我意识到,每次对后端接口的请求,都是一个单独的线程,它们是怎么通过认证的。登录后,就可以携带token去访问资源,那时就是第一步中讲的过程了。这使得我们在项目的新启线程中需要手动将认证上下文的数据传入。项目中使用的是JdbcTokenStore的形式。至此,登录状态下初始化认证上下文的过程已经结束。
linux安全上下文
JAVA
07-20 475
在/root下创建文件authorized_keys,然后move到.ssh中,文件没有起作用   1,修改属性解决: 查看安全上下问信息   :ls -Z  /root/.ssh 设置: restorecon -R .ssh   2.1,关闭安全检查解决: var /etc/selinux/config SELINUX=disabled 重启     2.2 临时修改,不
Linux中文件的安全上下文
因为觉得还太菜所以暂时不更新
11-04 1308
1、什么是安全上下文 (1)安全上下文是一个简单一致的访问控制属性 (2)特定的文件被特定的程序访问,是访问时的凭证 (3)会关闭系统认为不安全的所有功能 2、程序访问文件时匹配安全上下文 设置: 命令 功能 touch /mnt/abc 在mnt下建立一个新文件案abc mv /mnt/abc /var/ftp 将mnt下的abc移动到/var/ftp中,移动可以保持文件原有...
Spring Security系列】一文带你了解权限框架与Spring Security核心概念
小威的博客
04-15 1万+
权限框架是软件开发中用于管理用户权限和访问控制的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架!
安全上下文的认识
ZGGHUAN
05-16 4793
一、临时修改安全上下文在/mnt下建立一个文件,并将它移动到ftp目录下,在我们登陆时lftp时,没有westos文件在/var/ftp下建立一个文件
关于SpringSecurity整合的上下文获取用户信息在Service层不可用的问题--已解决
qq_51366518的博客
05-12 382
在编码中,SpringSecurity框架可以帮助我们获取到存在令牌的用户信息,下面给出一个工具类,让我们更方便的获取到用户信息。log.debug("解析jwt中的用户身份无法转成User对象:{}",jsonString);但是该工具类要在接口成的util包下面,不要在service层的util包下面。因为接service层不接令牌!......//自己的用户信息。//拿jwt中的用户身份。
springsecurity获取上下文
07-29
- *1* *2* *3* [Spring Security核心组件安全上下文](https://blog.csdn.net/qq_41071876/article/details/122290308)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值