该篇记录一下SecurityContextHolder与SecurityContext两个类,当然还有与它们关系密码的SecurityContextPersistenceFilter.java这个过滤器

1. SecurityContext.java

查看spring security的源码,发现它就是个接口,spring security提供了一个默认的实现SecurityContextImpl.java. 仔细一看,该类其实就是对Authentication对象进行了封装,当然,覆写了equals和hashCode两个方法。

public class SecurityContextImpl implements SecurityContext {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    // ~ Instance fields

    // ================================================================================================

    private Authentication authentication;

    public SecurityContextImpl() {}

    public SecurityContextImpl(Authentication authentication) {

        this.authentication = authentication;

    }

    // ~ Methods

    // ========================================================================================================

    @Override

    public boolean equals(Object obj) {

        if (obj instanceof SecurityContextImpl) {

            SecurityContextImpl test = (SecurityContextImpl) obj;

            if ((this.getAuthentication() == null) && (test.getAuthentication() == null)) {

                return true;

            }

            if ((this.getAuthentication() != null) && (test.getAuthentication() != null)

                    && this.getAuthentication().equals(test.getAuthentication())) {

                return true;

            }

        }

        return false;

    }

    @Override

    public Authentication getAuthentication() {

        return authentication;

    }

    @Override

    public int hashCode() {

        if (this.authentication == null) {

            return -1;

        }

        else {

            return this.authentication.hashCode();

        }

    }

    @Override

    public void setAuthentication(Authentication authentication) {

        this.authentication = authentication;

    }

}

2. SecurityContextHolder.java

官方解释就是: Associates a given {@link SecurityContext} with the current execution thread.(与当前线程的securitycontext有关)

其实,它就是存储SecurityContext对象。

默认的策略采用ThreadLocal

源代码如下:

public class SecurityContextHolder {

    // ~ Static fields/initializers

    // =====================================================================================

    public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";

    public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";

    public static final String MODE_GLOBAL = "MODE_GLOBAL";

    public static final String SYSTEM_PROPERTY = "spring.security.strategy";

    private static String strategyName = System.getProperty(SYSTEM_PROPERTY);

    private static SecurityContextHolderStrategy strategy;

    private static int initializeCount = 0;

    static {

        initialize();

    }

    private static void initialize() {

        // 如果没有设置自定义的策略,就采用MODE_THREADLOCAL模式

        if (!StringUtils.hasText(strategyName)) {

            // Set default

            strategyName = MODE_THREADLOCAL;

        }

        // ThreadLocal策略

        if (strategyName.equals(MODE_THREADLOCAL)) {

            strategy = new ThreadLocalSecurityContextHolderStrategy();

        }

        // 采用InheritableThreadLocal,它是ThreadLocal的一个子类

        else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {

            strategy = new InheritableThreadLocalSecurityContextHolderStrategy();

        }

        // 全局策略,实现方式就是static SecurityContext contextHolder

        else if (strategyName.equals(MODE_GLOBAL)) {

            strategy = new GlobalSecurityContextHolderStrategy();

        }

        else {

            // 自定义的策略,通过返回创建出

            try {

                Class<?> clazz = Class.forName(strategyName);

                Constructor<?> customStrategy = clazz.getConstructor();

                strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();

            }

            catch (Exception ex) {

                ReflectionUtils.handleReflectionException(ex);

            }

        }

        initializeCount++;

    }

}

补充说明: InheritableThreadLocal 与 ThreadLocal的区别

ThreadLocal , 存储变量只能被当前线程使用

InheritableThreadLocal  , 父线程中存储的变量子线程也可使用

3. SecurityContextPersistenceFilter.java

该过滤器是spring security 过滤器链的第一个过滤器,所以请求进来时,第一个经过它,响应数据时,最后一个经过它。

请求进来时, 它会检测session中是否有SecurityContext,如果有,它会将SecurityContext从session中拿出来,放到线程中。

当请求响应时,它会检测线程是否有SecurityContext,如果有,它会将SecurityContext放到session中去。

这样,不同的请求,就可以拿到同一个认证信息 Authentication

下面看具体源码:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) res;

        ......

        // 将request与response对象封装成一个HttpRequestResponseHolder对象,减少方法列表个数

        HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,response);

        // 检测session中是否有SecurityContext,如果有就从session中获取,如果没有,创建一个新的

        SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

        try {

            // 将SecurityContext对象放到当前执行的线程中

            SecurityContextHolder.setContext(contextBeforeChainExecution);

            // 调用过滤器链

            chain.doFilter(holder.getRequest(), holder.getResponse());

        }

        finally {

            // 从当前线程中获取SecurityContext对象

            SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();

            // 清空当前线程中的SecurityContext

            SecurityContextHolder.clearContext();

            // 将SecurityContext放入到session中

            repo.saveContext(contextAfterChainExecution, holder.getRequest(),holder.getResponse());

        }

    }

接着看下loadContext(holder)方法的源码

public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {

        HttpServletRequest request = requestResponseHolder.getRequest();

        HttpServletResponse response = requestResponseHolder.getResponse();

        // 获取session

        HttpSession httpSession = request.getSession(false);

        // 从session中获取SecurityContext对象

        SecurityContext context = readSecurityContextFromSession(httpSession);

        // 如果是null,就创建一个新的

        if (context == null) {

            context = generateNewContext();

        }

        .......

        return context;

    }

4. 总结

这几个相关的类看完了,感叹spring的代码就是写得好!

(1) SecurityContextHolder它的责任就是存储SecurityContext对象,但是怎么存储,采用何种存储策略则是通过SecurityContextHolderStrategy来实现的。SecurityContextHolderStrategy只是一个抽象接口,spring security 默认提供了几种存储策略,它们都实现了SecurityContextHolderStrategy接口。如果我们想自定义存储策略,肯定也得实现SecurityContextHolderStrategy。这样子,SecurityContextHolder 只需要提供存储策略的方式,至于如何实现这种存储策略,则完全交给了SecurityContextHolderStrategy及其实现类来控制,做到责任分离吧!

(2) SecurityContextPersistenceFilter也是骚了一逼,将交量转换用得神了!

04 SecurityContextHolder与SecurityContext说明的更多相关文章

  1. 核心组件之SecurityContextHolder

    作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息.   上下文细节怎么表示?     用SecurityContext对象来表示   每个用户都会有它的上下文,那这个Securi ...

  2. spring security源码分析之web包分析

    Spring 是一个非常流行和成功的 Java 应用开发框架.Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案.一般来说,Web 应用的安全性包括 ...

  3. Spring Security(09)——Filter

    目录 1.1     Filter顺序 1.2     添加Filter到FilterChain 1.3     DelegatingFilterProxy 1.4     FilterChainPr ...

  4. Spring Security 入门(1-6-2)Spring Security - 内置的filter顺序、自定义filter、http元素和对应的filterChain

    Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,而且各个 Filter 在功能上还有关联关系,所以它们的顺序也是非常重要的. 1.S ...

  5. Spring Security 架构与源码分析

    Spring Security 主要实现了Authentication(认证,解决who are you? ) 和 Access Control(访问控制,也就是what are you allowe ...

  6. Spring Security 过滤器链

    Alias Filter Class Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/interc ...

  7. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  8. 如何使用Spring Security手动验证用户

    1.概述 在这篇快速文章中,我们将重点介绍如何以编程方式在Spring Security和Spring MVC中设置经过身份验证的用户. 2. Spring Security 简而言之,Spring ...

  9. Spring Security 梳理 - DelegatingFilterProxy

    可能你会觉得奇怪,我们在web应用中使用Spring Security时只在web.xml文件中定义了如下这样一个Filter,为什么你会说是一系列的Filter呢?    <filter> ...

随机推荐

  1. CSU 1556 Jerry's trouble

    题目链接:http://acm.csu.edu.cn/csuoj/problemset/problem?pid=1556 Description Jerry is caught by Tom. He ...

  2. mac的jvm调优工具

    安装好JDK之后调优工具所在位置为: /System/Library/Frameworks/JavaVM.framework/Versions/Current/Commands/jvisualvm j ...

  3. Webhook到底是个啥?

    参照: https://segmentfault.com/a/1190000015437514

  4. HTML --JS 选择框

    <html> <head> <title>选择框</title> <script language="JavaScript"& ...

  5. 【题解】4879. 【NOIP2016提高A组集训第11场11.9】少女觉

    Description 在幽暗的地灵殿中,居住着一位少女,名为古明地觉.据说,从来没有人敢踏入过那座地灵殿,因为人们恐惧于觉一族拥有的能力——读心.掌控人心者,可控天下. 咳咳.人的记忆可以被描述为一 ...

  6. linux + eclipse + cdt 报错undefined reference......好麻烦的,这位大牛给出的方法可行,特此MARK!!!!

    http://bbs.csdn.net/topics/390239632 kerosun kerosun 等级: 结帖率:96.92% 楼主 发表于: 2012-10-11 12:00:51   比如 ...

  7. jQuery提交表单的几种方式

    方式一: $.post('../Ajax/GoodsAjax.ashx?cmd=getGsList', function (result) {   var result = eval('(' + re ...

  8. DS-哈希表浅析

    1.哈希表 2.哈希函数 3.哈希冲突 哈希表 哈希表是一种按key-value存储的数据结构,也称散列表. 之前的数组.树和图等等查找一个值时都要与结构中的值相比较,查找的效率取决于比较的次数. 而 ...

  9. mybatis问题整理

    // List<String> findBuildByProject(String prjName); //单参数时使用<if></if>标签判断采用"_ ...

  10. java_第一年_JavaWeb(9)

    JavaBean是一个遵循某种特定写法的Java类,有以下特点: 必需具有一个无参的构造函数 属性必需私有化 私有化的属性必需通过public类型的方法暴露给其它程序,其方法命名也有一定的规范 范例: ...