Spring Security4源码解读探寻权限机制
我们知道springSecurity 会在用户登录的时候获取用户的角色权限, 你是一个普通用户可能没有管理员拥有的权限。用户登录后Authentication 获取用户的权限。 不通用户登录系统会生成各自Authentication
那么这个 Authentication 存在哪 呢?服务端?那100万 个用户都同时登录,系统如何区分哪个 Authentication是哪个用户的?
测试。使用两个账号,分布登录两个不通浏览器。一个是火狐,一个是谷歌。控制台分别打印出
==========================两个角色互不干扰。
这个授权是在调用登录接口时候验证的。
我的疑惑是如果是 存在内存里,内存怎么识别哪个用户哪个角色。
其他接口调用,使用AuthUtil 获取权限的时候, 没有在去授权
难道存在客户端的cookie?
现在一个测试浏览器 两个窗口打开, 登录两个不同的账号 ,结果不同角色不同权限。
好吧, 开始看源码吧。
先看我自定义的授权接口:
返回一个UsernamePasswordAuthenticationToken 对象,存储了用户名。 密码。权限
点进去
顶级接口AbstractAuthenticationToken
点进去
AbstractAuthenticationToken 这个抽象类, 实现了两个接口Authentication // CredentialsContainer
CredentialsContainer 接口点击进去
CredentialsContainer 谷歌翻译 凭据容器 难道是所有的授权存在这里?看了它 的方法, 只有一个, void eraseCredentials(); 清除凭证
=====================先不探究
看下 另一个接口 Authentication
实现了Serializable 接口 。序列化对象。
好吧还是看不懂, 那看获取权限另一种方式, 不是AuthUtil
看下SecurityContextHolder 源码
有个静态方法 initialize();
看下这个方法
第一个 if判断 返回一个空
strategyName = MODE_THREADLOCAL;
THREADLOCAL 线程局部变量
每一个线程都可以独立地改变自己的副本,而不会和其它线程的副本冲突。
继续往下面看:
这里跳转:
返回一个对象 ThreadLocalSecurityContextHolderStrategy
声明一个ThreadLocal
存储的是对象
================================
重点是这个set 方法, 看看被哪些 调用
被七个方法调用:
卧槽,
第一个
看看父类 AbstractSecurityInterceptor 抽象权限过滤器, 应该不是这个时候存进去的。
第二个
DelegatingSecurityContextCallable 委派权限上下文对象, 看着也不像。
第三个
谷歌翻译 是消化授权过滤器, 应该不是这个时候存的
第四个
权限上下文持久化过滤器
看到持久化,赶紧点进去==》
response 里面拿?我记得我授权之后不是扔到response里面
继续看下五个
抽象权限拦截器, 这个更不是了
第六个
上下文进程拦截器。 马丹还不是。
第七个
委派权限上下文接口
这个线程好像也不是,现在似乎都很迷糊。
好吧还是研究UsernamePasswordAuthenticationToken

最终找到了,好吧, 这个 就是最终的设置方法了
来看他的源码:
原来是这样的。
==============================================================================================================
现在大概明白了 原理:
1 、用户密码用户名验证。
2 、授权通过,会放到threadLocal。
疑惑: 某个用户调用某个方法,获取方法,怎么判断他就是那个用户?
多个用户调用服务器这段代码, 获取不一样的角色怎么做到的!!!!
ThreadLocal在Spring中发挥着重要的作用,在管理request作用域的Bean、事务管理、任务调度、AOP等模块都出现了它们的身影,起着举足轻重的作用。要想了解Spring事务管理的底层技术,ThreadLocal是必须攻克的山头堡垒。
ThreadLocal是什么
早在JDK 1.2的版本中就提供java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。
ThreadLocal很容易让人望文生义,想当然地认为是一个“本地线程”。其实,ThreadLocal并不是一个Thread,而是Thread的局部变量,也许把它命名为ThreadLocalVariable更容易让人理解一些。
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。
======================================================源码太多, 有些人说看源码是一种享受,很少吧
Spring Security4源码解读探寻权限机制的更多相关文章
- Spring:源码解读Spring IOC原理
Spring IOC设计原理解析:本文乃学习整理参考而来 一. 什么是Ioc/DI? 二. Spring IOC体系结构 (1) BeanFactory (2) BeanDefinition 三. I ...
- spring beans源码解读
spring beans下面有如下源文件包: org.springframework.beans, 包含了操作java bean的接口和类.org.springframework.beans.anno ...
- spring beans源码解读之--总结篇
spring beans下面有如下源文件包: org.springframework.beans, 包含了操作java bean的接口和类.org.springframework.beans.anno ...
- 【Spring Cloud 源码解读】之 【如何配置好OpenFeign的各种超时时间!】
关于Feign的超时详解: 在Spring Cloud微服务架构中,大部分公司都是利用Open Feign进行服务间的调用,而比较简单的业务使用默认配置是不会有多大问题的,但是如果是业务比较复杂,服务 ...
- Spring事务源码解读
一.Spring事务使用 1.通过maven方式引入jar包 <dependency> <groupId>com.alibaba</groupId> <art ...
- Spring IoC源码解读——谈谈bean的几种状态
阅读Spring IoC部分源码有一段时间了,经过不断的单步调试和参阅资料,对Spring容器中bean管理有了一定的了解.这里从bean的几个状态的角度出发,研究下IoC容器. 一.原材料 Xml中 ...
- spring beans源码解读之 ioc容器之始祖--DefaultListableBeanFactory
spring Ioc容器的实现,从根源上是beanfactory,但真正可以作为一个可以独立使用的ioc容器还是DefaultListableBeanFactory,因此可以这么说, DefaultL ...
- 【转载】Spring @Async 源码解读。
由于工作中经常需要使用到异步操作,一直在使用@Async, 今天抽空学习了一下它的执行原理,刚好看到一篇写的很棒的文章,这里转载过来做个记录,感谢原作者的无私奉献. 原文章链接地址:https://w ...
- spring beans 源码解读
从把spring下下来,导入到eclipse,花了几个小时的时间. 本来壮志雄心的说要,满满深入学习研读spring源码,现在看来还是不太现实,太难懂了,各种依赖,说明都是英文,整个串起来理解,深入研 ...
随机推荐
- Vcl.FileCtrl.SelectDirectory
描述:显示一个目录的对话框(属于Delphi) function SelectDirectory(var Directory: string; Options: TSelectDirOpts; Hel ...
- jbpm4.4 spring整合
jBPM-4.4与Spring集成配置比较容易,这里我使用的是Spring-2.5.6,数据库连接池使用C3P0,将相关的两个jar文件加入到CLASSPATH中. jBPM-4.4与Spring集成 ...
- POJ 3371 Flesch Reading Ease 无聊恶心模拟题
题目:http://poj.org/problem?id=3371 无聊恶心题,还是不做的好,不但浪费时间而且学习英语. 不过为了做出点技术含量,写了个递归函数... 还有最后判断es,ed,le时只 ...
- ASP.NET MVC轻教程 Step By Step 1 ——入门
使用ASP.NET MVC有一段时间了,本人还是非常喜欢ASP.NET MVC这个框架模式的.在经历了WebForm复杂粗暴的做法后,自然感觉简洁优雅的MVC清新可人,只不过WebForm和MVC的设 ...
- 炼狱—Bug集中营
关联性 Bug1:在web.config配置了一个配置项,但是却没有在app.config(测试工程)中进行配置: CresteOrder的加密参数为了符合QQ要求增加了一个sessionKey,但是 ...
- Controllers, Actions 和 Action Results
Controllers, Actions 和 Action Results 原文:Controllers, Actions, and Action Results作者:Steve Smith翻译:姚阿 ...
- ios开发之C语言第4天
自增和自减运算 自增运算符 ++ 自增表达式 1>.前自增表达式. int num = 1; ++num; 2>.后自增表达式 int num = 1; n ...
- 第 12 章 命令模式【Command Pattern】
以下内容出自:<<24种设计模式介绍与6大设计原则>> 今天讲命令模式,这个模式从名字上看就很简单,命令嘛,老大发命令,小兵执行就是了,确实是这个意思,但是更深化了,用模式来描 ...
- 矩阵分解(rank decomposition)文章代码汇总
矩阵分解(rank decomposition)文章代码汇总 矩阵分解(rank decomposition) 本文收集了现有矩阵分解的几乎所有算法和应用,原文链接:https://sites.goo ...
- [wikioi]最长严格上升子序列
http://wikioi.com/problem/1576/ 经典的动态规划.我写了个o(n^2)的DP方法. PPT:http://wenku.baidu.com/view/bd290294dd8 ...