SecurityContextPersistenceFilter和SecurityContextHolder的作用

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量961 收藏 2
点赞数 1
分类专栏: spring全家桶 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43203949/article/details/120986630
版权

SecurityContextPersistenceFilter和SecurityContextHolder的作用

SecurityContextHolder

SecurityContextHolderSpring Security 中最基本的组件,SecurityContextHolder是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。

SecurityContext securityContext = SecurityContextHolder.getContext();

默认情况下:

  • SecurityContextHolder使用了ThreadLocal机制来保存每个使用者的安全上下文。
  • 根据Servlet规范,一个Servlet request的处理不管经历了多少个Filter,自始至终都由同一个线程来完成。

这意味着,只要针对某个使用者的逻辑执行都是在同一个线程中进行,即使不在各个方法之间以参数的形式传递其安全上下文,各个方法也能通过SecurityContextHolder工具获取到该安全上下文。并且因为SecurityContextHolder使用了ThreadLocal机制来保存每个使用者的安全上下文,所以在一个请求处理的逻辑执行中都在同一个线程中进行,而请求对应的安全上下文就保存在SecurityContextHolder中。所以我们才可以通过SecurityContextHolder.getContext();每个请求自己独立的安全上下文。

需要注意的一点是,这里说的是一次请求,而非一次会话,而如何将请求的信息保存在session中就要看下面的SecurityContextPersistenceFilter的工作原理了。

SecurityContextHolder的其他工作模式

根据不同的web应用可以有不同的上下文保存和管理方式,而SecurityContextHolder一共提供了三种工作模式,而每一种工作模式就对应着一个一种上下文管理方式。

SecurityContextHolder有以下三种模式:

  • MODE_THREADLOCAL (缺省工作模式,也就是默认模式)
  • MODE_GLOBAL
  • MODE_INHERITABLETHREADLOCAL
MODE_GLOBAL

这个称之为全局模式,该模式下的JVM中所有的线程使用同一个安全上下文,所以所以请求的线程都是共用一个上下文,而不存在MODE_THREADLOCAL模式中的使用ThreadLocal机制来保存每个使用者的安全上下文。

MODE_INHERITABLETHREADLOCAL

根据名字可以猜测出这是一个继承MODE_THREADLOCAL的一种模式,在该模式下,用户可以自定义自己的线程创建,并且希望这些自定义的新建线程也能使用创建者的安全上下文。

SecurityContextPersistenceFilter

SecurityContextPersistenceFilter其实是spring security中filterchainproxy中的一个Filter,而跨请求安全上下文SecurityContext的保持,是通过SecurityContextPersistenceFilter来实现的,SecurityContextPersistenceFilter将安全上下文SecurityContext对象保存为当前用户HttpSession对象的一个属性。

SecurityContextPersistenceFilter除了负责安全上下文的持久化,在一些restful api的非持久化的请求场景中,SecurityContextPersistenceFilter还负责该安全上下文的销毁。

SecurityContextPersistenceFilter有两个主要任务:

  • 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder;
  • 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。
SecurityContextPersistenceFilter的工作过程

对于一些要求跨 request 请求保持的场景,我们都是通过session来保存一次request中的信息,当下次请求过来的时候,我们可以通过session获取之前请求中的信息。SecurityContextPersistenceFilter这个filter就是处理请求最后的保存操作。

具体来讲,操作如下:

  • 一个安全上下文在某个请求1处理过程中被创建并记录到SecurityContextHolder(准确来说是SecurityContextHolder中对应的ThreadLocal);
  • 请求1的处理结束时返回响应时,SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文保存到HttpSession(SecurityContextRepository负责安全上下文的持久);
  • 后续该用户会话中的另外一个请求2处理过程开始时,SecurityContextPersistenceFilter会将安全上下文从HttpSession恢复到SecurityContextHolder;
  • 请求2处理过程结束时,SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文保存到HttpSession;
  • 后续其他请求的处理过程会重复和上面请求2处理过程中一样的使用SecurityContextPersistenceFilter重置/恢复SecurityContext的动作。

在现实场景中,处理在一些restful api的非持久化的请求场景中,SecurityContextPersistenceFilter负责安全上下文的销毁,具体操作如下:

  • 一个安全上下文在某个请求1处理过程中被创建并记录到SecurityContextHolder
  • 请求1的处理结束时,SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文进行销毁
鸭梨的药丸哥
关注
专栏目录
SecurityContextPersistenceFilter详解
小汤圆
08-11 1772
试想一下,如果我们不使用Spring Security,如果保存用户信息呢,大多数情况下会考虑使用Session对吧?在Spring Security中也是如此,用户在登录过一次之后,后续的访问便是通过sessionId来识别,从而认为用户已经被认证。SecurityContextHolder存放用户信息,认证相关的信息是如何被存放到其中的,便是通过SecurityContextPersistenceFilterSecurityContextPersistenceFilter的两个主要作用便是请求来临时,
spring security reactive获取security context
weixin_33827965的博客
03-18 2440
序 本文主要研究下reactive模式下的spring security context的获取。 ReactiveSecurityContextHolder springboot2支持了webflux的异步模式,那么传统的基于threadlocal的SecurityContextHolder就不管用了。spring security5.x也支持了reactive方式,这里就需要使用reactiv...
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1496
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
spring security 4 filter SecurityContextPersistenceFilter(三)
it帝国的博客-辉
03-13 1718
今天我们讲的filterSecurityContextPersistenceFilter,通过其名字,就能大概猜出来这个过滤器的作用,就是用来持久化SecurityContext实例用的,也是spring security filter 核心的过滤器之一。 接下去我们将根据其源码分析一下其作用,先看看doFilter这个方法 public void doFilter(Servl...
SecurityContextPersistenceFilter
weixin_35753431的博客
01-04 230
SecurityContextPersistenceFilterSpring Security 框架中的一个过滤器,它的作用是在请求到达时恢复用户的安全上下文,并在请求完成后将其保存。这样,用户在跳转到另一个页面或在浏览器中打开另一个标签页时,仍然可以保持登录状态。 SecurityContextPersistenceFilter 会从 HTTP 请求中读取用户凭证,并使用它们来恢复用户的安...
SpringSecurity过滤器链SecurityContextPersistenceFilter
sdaujsj1的博客
07-03 943
SecurityContextPersistenceFilter SecurityContextPersistenceFilterSpringsecurity链中第二道防线,位于WebAsyncManagerIntegrationFilter之后,作用是为了存储SecurityContext而设计的。 SecurityContextPersistenceFilter主要做两件事: 当请求到来时,从HttpSession中获取SecurityContext并存入SecurityContextHolder中
核心组件之SecurityContextHolder
dieqiuxie4160的博客
08-04 655
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息。 上下文细节怎么表示? 用SecurityContext对象来表示 每个用户都会有它的上下文,那这个SecurityContext保存在哪里呢? 存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。 SecurityCo...
【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
yqqの博客
03-18 288
SpringSecurity中的jar分为4个,作用分别为。
学习理解SpringSecurity的几个关键问题
Kim_
12-02 783
1、默认存在哪些filter,具体执行顺序 ChannelProcessingFilter,如果你访问的 channel 错了,那首先就会在channel 之间进行跳转,如 http 变为 https。 SecurityContextPersistenceFilter,这样的话在一开始进行 request 的时候就可以在 SecurityContextHolder 中建立一个Securit...
SecurityContextHolder实现原理(策略模式和ThreadLocal)
CTPeng的博客
12-04 3945
SecurityContextHolder实现原理一、核心组件1.1 SecurityContextHolder1.2 SecurityContextHolderStrategy1.3ThreadLocalSecurityContextHolderStrategy二、ThreadLocal源码分析1.1实现该功能的核心技术1.2ThreadLocal总结总结 SecurityContextHolder是SpringSecurity中保存认证信息的核心组件,重点是将给定的认证信息(SecurityConte
SecurityContextHolder
09-01
而当请求处理结束时,SecurityContextPersistenceFilter会销毁SecurityContextHolder中的安全上下文。因此,每个请求都有自己独立的安全上下文,可以通过SecurityContextHolder.getContext()方法获取到。...
SpringSecurity源码解析--SecurityContextPersistenceFilter
程序员劝退师的博客
11-19 339
概述 SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。 通过SecurityContextPersistenceFilter的这种
security的一个过滤器——SecurityContextPersistenceFilter
linhao_obj的博客
07-26 688
security的一个过滤器——SecurityContextPersistenceFilter 1、关于security的用户信息获取 a、SecurityContextHolder.getContext().getAuthentication() b、在 Controller 的方法中,加入 Authentication 参数,调用getPrincipal()方法 问题:异常情况上述两种方式获取用户都为null,即系统获取不到用户信息,报错状态码401,这又是怎么回事呢? 要弄明白这个问题,我们就得明白
Spring Security3源码分析(5)-SecurityContextPersistenceFilter分析
Benjamin
09-11 1744
通过观察Filter的名字,就能大概猜出来这个过滤器的作用,是的,持久化SecurityContext实例。这个过滤器位置是;  org.springframework.security.web.context.SecurityContextPersistenceFilter  废话不说,看源码  Java代码   public void doFilter(Servle
Spring Security Web 5.1.2 源码解析 -- SecurityContextHolderAwareRequestFilter
Details Inside Spring
12-07 1530
概述 SecurityContextHolderAwareRequestFilter对请求HttpServletRequest采用Wrapper/Decorator模式包装成一个可以访问SecurityContextHolder中安全上下文的SecurityContextHolderAwareRequestWrapper。这样接口HttpServletRequest上定义的getUserPrinc...
Spring Security 之默认过滤器链的SecurityContextPersistenceFilter(七)
欢谷悠扬
07-08 440
1.SecurityContextPersistenceFilter 是干啥的 SecurityContextPersistenceFilter 是用来在认证之前从SecurityContextRepository获取SecurityContext,然后放入SecurityContextHolder中。 在其他方法执行完毕之后,将SecurityContext 通过SecurityContextRepository存储到想要存储的地方,然后清理掉SecurityContextHolder中的Security
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 2005
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值